rundll32.exe bei Browserstart

neverlein

Vom Norton-Forum habe ich den Vorschlag bekommen, einmal hierher zu schauen in der Hoffnung, dass es hier eventuell eine Lösung meines Problems gibt.
Die Schilderung wird hier etwas länger sein denn ich möchte so gut wie möglich erklären, was ich inzwischen alles Unternommen habe.
Das Problem ist: Öffne ich einen Browser (Firefox 3.6.20 ist Standard), erscheint eine Meldung von Norton 360 (rechts unten am Bildschirmrand), dass rundll32.exe sicher sei. Kurz darauf die Meldung, dass ein mittleres Risiko besteht und die Datei entfernt wurde. Das trifft im Übrigen auf alle Browser zu, die ich installiert habe (Internet Explorer 8 und Google Chrome). Und ich muss auch voraussetzen, dass diese nur auftritt, nachdem der Rechner neu gestartet wurde. Nachdem dann diese Meldung das erste Mal kam, kann ich die Browser starten, ohne dass ich noch einmal von Norton gewarnt werde.
Es wird nämlich nach dem Start eines Browser eine rundll32.exe erstellt. Hier einmal die Norton-Meldung:
Vollständiger Pfad: c:\users\xxxxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe (wobei der Ordner ‚bdb33.tmp‘ jeweils mit anderen Zahlen- Buchstabenkombinationen neu erstellt wird):
____________________________
____________________________
Auf Computern ab:
19.08.2011 um 08:55:54
Zuletzt verwendet:
19.08.2011 um 08:57:40
Systemstartobjekt:
Nein
Gestartet:
Nein
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Mittel
Das Risiko dieser Datei ist mittel.
____________________________
Bedrohungsdetails
Art der Bedrohung: Insight-Netzwerkbedrohung. Es bestehen mehrere Anzeichen, dass diese Datei nicht vertrauenswürdig und daher nicht sicher ist
____________________________
Ursprung
Heruntergeladen von URL nicht verfügbar
Quelldatei:
rundll32.exe
____________________________
Dateiaktionen
Datei: c:\users\xxxxx\appdata\local\temp\low\bdb33.tmp\rundll32.exe
entfernt
____________________________
Dateiabdruck - SHA:
8912bb73e0b33d8814a731ad8c0e8fa638c2b4ee432cf417a34fc1d110d14364
____________________________
Dateiabdruck - MD5:
36388955672e62d2ee6a0945d32639a9
Diese Datei hat die Größe von 588KB.
Ein Scan mit Norton 360 und dann Spybot, beides im abgesicherten Modus, brachten nichts, es wurde nichts gefunden.
Alle Autostartprogramme deaktiviert und den Rechner neu gestartet; brachte auch nichts.
Ich lud mir daraufhin von Norton diesen Power Eraser herunter und ließ ihn durchlaufen. Dieser fand einige Bedrohungen. Ein Remote Scan gab aber dann Entwarnung.
Mit den Tipps aus dem Norton-Forum machte ich dann weiter. Ich schickte diese Datei zu Norton um sie dort überprüfen zu lassen und ließ sie (ich hatte sie mir, bevor sie von Norton entfernt wurde, kopiert) bei Virustotal und Jotti testen. Nur ByteHero (bei Virustotal) zeigte mir einen Fund an:

ByteHero1.0.0.12011.08.20Trojan.Malware.Win32.xPack.m

Danach ließ ich von mehreren Programmen die Platte scannen (cclean, Malewarebytes‘, HijackThis) und postete die Logdateien (nennt man das so?) ins Forum (HijackThis zweimal. Einmal mit dieser rundll, und einmal nachdem sie von Norton entfernt wurde). Freundliche Mitglieder des Norton Forums analysierten diese dann, fanden aber nichts Auffälliges.
Inzwischen stufte der Norton Sonar diese Warnung von ‚mittleres Risiko‘ auf ‚hohes Risiko‘ ein (beim Browserstart vorerst aber noch als Sicher; die Warnung kommt dann etwas später). Aus der Dateiinfo konnte ich dann entnehmen, dass vor einem Tag noch weniger als 5, jetzt weniger als 50 User der Norton Community diese Datei nutzen (naja, so steht es zumindest da, ich denke die meinen: davon betroffen sind).
Zuletzt lud ich mir SuperAntiSpyware (Free Edition) herunter und ließ es drüber laufen. Gefunden wurden etwa 100 Tracking Cookies und zwei Trojaner, die aber Isoliert wurden:

C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XCTFOLDER.DLL
C:\PROGRAM FILES\FLICKROCKET\DOWNLOAD MANAGER\XEB\XEBTAG.DLL

Hierbei handelt es sich um den Internet Download Manager; den habe ich vor knapp einem Jahr installiert. Inzwischen habe ich das Ergebnis von Norton über die eingeschickte Datei bekommen. Wenn ich es richtig übersetzt habe lautet das Ergebnis etwa so: Die automatische Überprüfung fand nichts. Zu einem späteren Zeitpunkt wird diese Datei manuell überprüft.
Ob es was zur Sache tut, weiß ich jetzt nicht. Damals, als der IE9 herauskam, hatte ich mir diesen installiert (auch wenn der IE nicht mein Standard ist). Die Installation verlief so, wie sie bei Microsoft üblich ist: Kleine Datei herunter geladen, doppelklick darauf und der eigentliche Download und Installation begann.
Allerdings machte mir dieser Browser gleich von Anfang an Probleme. Ich konnte (durfte?) noch nicht einmal meine Startseite öffnen (t-online) und ich glaube mich erinnern zu können, dass ich damals auch schon eine rundll32.exe Warnung bekommen habe. Hundertprozentig Sicher bin ich mir aber nicht. Ich habe ihn dann deinstalliert und jetzt wieder den IE8 und bis jetzt auch keine Meldungen mehr erhalten.
Die letzten Installationen, die ich etwa Zeitgleich getätigt habe waren FileZilla (Open Source FTP-Programm) einige Tage bevor diese Meldung erschienen und ich bekam ein Firefox Update auf 3.6.20 (ich bin mir nicht mehr sicher, aber ich glaube, die vorherige Version war 3.6.17).