Hey Leute,

ich habe ein Problem, nachdem mir mein Virusprogram ein paar Trojaner signalisiert hat und ich diese (hoffentlich) erfolgreich gelöscht habe, zeigt Windows mir bei jedem Systemstart folgende Nachricht:

RUNDLL
Fehler beim Laden von C:\WINDOWS\egakehejonuquc.dll
Das angegebene Modul wurde nicht gefunden.

So, das ist das Pop up.

Ich habe versucht dieses HI*ackthis zu machen...geht aber nicht, ich weiß nicht ob ich mich zu doof anstelle oder so.
Das einzige was das Program sagt ist, dass es ein unbekannter Prozess ist. Art = unbekannt.
Ich hatte sowas noch nie und weiß auch nicht was ich damit anfangen soll.

Ich bin hilflos!!!!
BITTE HELFT MIR!

ankemon

Hallo und Herzlich Willkommen!

Ich vermute dass sich ein Rootkit eingenistet hat

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Wenn noch nicht getan hast:
lade Dir HijackThis 2.0.2 von *von hier* herunter

Zitat:

WICHTIG !! DA ES INZWISCHEN MEHRERE SCHADPROGRAMME GESCHAFFT HABEN,
UNTER HijackThis NICHT MEHR ENTDECKT ZU WERDEN, SOLLTE MAN DIE DATEI
HIJACKTHIS.EXE UMBENENNEN.
Benenne die installierte Datei "HijackThis.exe" um in "prüfung.com" (ohne "")
das Ergebnis sieht dann so aus: C:\Programme\Trend Micro\HijackThis\prüfung.com

HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft!

• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Danke schonmal für diese lange Antwort.

Also wenn ich diese Systemreinigung machen, löscht das dann auch irgendwelche meiner Dateien, die eigentlich nicht gelöscht werden sollten? Ich kenne mich nicht wirklich mit sowas aus und habe ein wenig Bammel, dass ich am Ende meine Daten verliere...vielleicht kannst du mir das Beantworten, bevor ich alle Schritte durchlaufe.

Ich habe mal mit HI*ackthis den systemcheck gemacht und das logfile gespeichert.
Hier ist das Ergebnis, wenn das weiterhilft:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:09:30, on 09.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Vista Drive Icon\DrvIcon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\AIM6\aim6.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\AIM6\aolsoftware.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Love\LOKALE~1\Temp\Rar$EX00.093\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: AOLSearchHook Class - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - C:\Programme\AIM Search\AOLSearch.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: AOL Search Enhancement - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - C:\Programme\AIM Search\AOLSearch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [SUPBackGround] C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [sys32_nov] C:\WINDOWS\system32\sys32_nov.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [Jmunesuzuz] rundll32.exe "C:\WINDOWS\egakehejonuquc.dll",Startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Aim6] "C:\Programme\AIM6\aim6.exe" /d locale=en-US ee://aol/imApp
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [sys32_nov] C:\Dokumente und Einstellungen\Love\sys32_nov.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Ad-Aware.lnk = C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=GRfox000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.gamehouse.com/games/tumblebugs/axhost.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 11614 bytes

Im Anhang sind die Liste der Files aus den letzten 6 Monaten und meine installierten Programme.

Weitere Schritte kann ich leider erst später durchführen.

Vielleicht hilft das soweit ja schonmal weiter!
Danke

ankemon

Hier sind die letzten Scans mit den beiden letzten Programmen.

Ich habe sie wieder als .txt Dateien angehangen.

2x GMER scan von Laufwerk C und D

und hier ist der Scan von F-Secure Blacklight:

10/09/09 15:19:04 [Info]: BlackLight Engine 2.2.1092 initialized
10/09/09 15:19:04 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/09/09 15:19:04 [Note]: 7019 4
10/09/09 15:19:04 [Note]: 7005 0
10/09/09 15:19:08 [Note]: 7006 0
10/09/09 15:19:08 [Note]: 7011 1904
10/09/09 15:19:08 [Note]: 7035 0
10/09/09 15:19:08 [Note]: 7026 0
10/09/09 15:19:08 [Note]: 7026 0
10/09/09 15:19:11 [Note]: FSRAW library version 1.7.1024
10/09/09 15:26:31 [Note]: 7007 0

danke

ankemon

hi

Zitat:

Zitat von ankemon

Also wenn ich diese Systemreinigung machen, löscht das dann auch irgendwelche meiner Dateien, die eigentlich nicht gelöscht werden sollten? Ich kenne mich nicht wirklich mit sowas aus und habe ein wenig Bammel, dass ich am Ende meine Daten verliere...

nein, ausser wenn infiziert ist/sind. Aber wenn etwas infiziert, sollte entfernt werden..oder?

1.

Code: Alles auswählenAufklappen

ATTFilter

Azureus
         

Zitat:

Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!

Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

2.
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen (bebilderte Anleitung *hier*:

Zitat:

C:\WINDOWS\Ryekiqohuw.dat

3.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\Ryekiqohuw.dat
         

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)

Oh ja Azureus, das verwende ich garnicht mehr, hat mir mal ein Freund draufgespielt. Habs direkt gelöscht!
Wäre das schonmal erledigt...

So und nun zu C:\WINDOWS\Ryekiqohuw.dat

Hier steht allerdings nur folgendes:

Code: Alles auswählenAufklappen

ATTFilter

Dateityp: DAT-Datei
Öffnen mit: Unbekannte Anwendung
Ort: C:\WINDOWS
Größe: 120 Byte (120 Bytes)
Größe auf Datenträger: 4,00 KB (4.096 Bytes)
Erstellt: Samstag, 12. September 2009, 00:05:42
Geändert am: Donnerstag, 24. September 2009, 22:01:35
Letzter Zugriff: Heute, 9. Oktober 2009, 18:14:19
         

in der Dateiinfo steht nichts.

bei Virustotal habe ich folgendes erhalten:

Code: Alles auswählenAufklappen

ATTFilter

Datei Ryekiqohuw.dat empfangen 2009.10.09 23:14:33 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.10.09	-
AhnLab-V3	5.0.0.2	2009.10.09	-
AntiVir	7.9.1.35	2009.10.09	-
Antiy-AVL	2.0.3.7	2009.10.09	-
Authentium	5.1.2.4	2009.10.10	-
Avast	4.8.1351.0	2009.10.09	-
AVG	8.5.0.420	2009.10.04	-
BitDefender	7.2	2009.10.10	-
CAT-QuickHeal	10.00	2009.10.09	-
ClamAV	0.94.1	2009.10.09	-
Comodo	2552	2009.10.09	-
DrWeb	5.0.0.12182	2009.10.09	-
eSafe	7.0.17.0	2009.10.08	-
eTrust-Vet	35.1.7060	2009.10.09	-
F-Prot	4.5.1.85	2009.10.10	-
F-Secure	8.0.14470.0	2009.10.09	-
Fortinet	3.120.0.0	2009.10.10	-
GData	19	2009.10.10	-
Ikarus	T3.1.1.72.0	2009.10.09	-
Jiangmin	11.0.800	2009.10.08	-
K7AntiVirus	7.10.866	2009.10.09	-
Kaspersky	7.0.0.125	2009.10.10	-
McAfee	5766	2009.10.09	-
McAfee+Artemis	5766	2009.10.09	-
McAfee-GW-Edition	6.8.5	2009.10.10	-
Microsoft	1.5101	2009.10.10	-
NOD32	4494	2009.10.09	-
Norman	6.01.09	2009.10.09	-
nProtect	2009.1.8.0	2009.10.09	-
Panda	10.0.2.2	2009.10.09	-
PCTools	4.4.2.0	2009.10.09	-
Prevx	3.0	2009.10.10	-
Rising	21.50.44.00	2009.10.09	-
Sophos	4.45.0	2009.10.10	-
Sunbelt	3.2.1858.2	2009.10.09	-
Symantec	1.4.4.12	2009.10.10	-
TheHacker	6.5.0.2.035	2009.10.10	-
TrendMicro	8.950.0.1094	2009.10.09	-
VBA32	3.12.10.11	2009.10.09	-
ViRobot	2009.10.9.1978	2009.10.09	-
VirusBuster	4.6.5.0	2009.10.09	-
weitere Informationen
File size: 120 bytes
MD5...: 8efeabdeec3de81c3dc42a2801ddf461
SHA1..: 02f1032b36b1546af5815cd03befd0aa5a09b008
SHA256: 643f2d4a4311c9af9f31a361a0e827c1aaa6520328d1374e2ee4a65e6e9a2a37
ssdeep: 3:yxKdWoWgX6USwmaF5ctU0RpukCHeh2XVh:ycFWgX6LVTDUHM2Fh
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

Ich hoffe das hilft irgendwie weiter...aber hat das denn was mit der ursprünglichen Fehlermeldung, mit der .dll, zu tun?

danke,

ankemon

Zitat:

Zitat von ankemon

aber hat das denn was mit der ursprünglichen Fehlermeldung, mit der .dll, zu tun?

vermutlich ja, aber die Datei "egakehejonuquc.dll" wurde schon gelöscht (Avira?) und die "gute Meldung des Tages - Windows", meldet jetzt als vermißt...

wir müssen wahrscheinlich die Datei C:\WINDOWS\Ryekiqohuw.dat per hand löschen, aber vorher:

Datei Upload

• Klicke bitte auf diesen Link UploadMalware.com

• Gib im obersten Feld deinen Namen ein
• Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/78224-r...nuquc-dll.html)
• Lade dann diese Datei von deinem Rechner hoch:

C:\WINDOWS\Ryekiqohuw.dat

• Gib im Kommentarfeld Folgendes an:
• "Unknown file"
• deine eMail Adresse, damit du benachrichtigt werden kannst, um was es sich bei dieser Datei handelt.
• diese Information:

Code: Alles auswählenAufklappen

ATTFilter

Datei Ryekiqohuw.dat empfangen 2009.10.09 23:14:33 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.41	2009.10.09	-
AhnLab-V3	5.0.0.2	2009.10.09	-
AntiVir	7.9.1.35	2009.10.09	-
Antiy-AVL	2.0.3.7	2009.10.09	-
Authentium	5.1.2.4	2009.10.10	-
Avast	4.8.1351.0	2009.10.09	-
AVG	8.5.0.420	2009.10.04	-
BitDefender	7.2	2009.10.10	-
CAT-QuickHeal	10.00	2009.10.09	-
ClamAV	0.94.1	2009.10.09	-
Comodo	2552	2009.10.09	-
DrWeb	5.0.0.12182	2009.10.09	-
eSafe	7.0.17.0	2009.10.08	-
eTrust-Vet	35.1.7060	2009.10.09	-
F-Prot	4.5.1.85	2009.10.10	-
F-Secure	8.0.14470.0	2009.10.09	-
Fortinet	3.120.0.0	2009.10.10	-
GData	19	2009.10.10	-
Ikarus	T3.1.1.72.0	2009.10.09	-
Jiangmin	11.0.800	2009.10.08	-
K7AntiVirus	7.10.866	2009.10.09	-
Kaspersky	7.0.0.125	2009.10.10	-
McAfee	5766	2009.10.09	-
McAfee+Artemis	5766	2009.10.09	-
McAfee-GW-Edition	6.8.5	2009.10.10	-
Microsoft	1.5101	2009.10.10	-
NOD32	4494	2009.10.09	-
Norman	6.01.09	2009.10.09	-
nProtect	2009.1.8.0	2009.10.09	-
Panda	10.0.2.2	2009.10.09	-
PCTools	4.4.2.0	2009.10.09	-
Prevx	3.0	2009.10.10	-
Rising	21.50.44.00	2009.10.09	-
Sophos	4.45.0	2009.10.10	-
Sunbelt	3.2.1858.2	2009.10.09	-
Symantec	1.4.4.12	2009.10.10	-
TheHacker	6.5.0.2.035	2009.10.10	-
TrendMicro	8.950.0.1094	2009.10.09	-
VBA32	3.12.10.11	2009.10.09	-
ViRobot	2009.10.9.1978	2009.10.09	-
VirusBuster	4.6.5.0	2009.10.09	-
weitere Informationen
File size: 120 bytes
MD5...: 8efeabdeec3de81c3dc42a2801ddf461
SHA1..: 02f1032b36b1546af5815cd03befd0aa5a09b008
SHA256: 643f2d4a4311c9af9f31a361a0e827c1aaa6520328d1374e2ee4a65e6e9a2a37
ssdeep: 3:yxKdWoWgX6USwmaF5ctU0RpukCHeh2XVh:ycFWgX6LVTDUHM2Fh
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

• Drücke nun auf den Button "Send File"
• **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
  .