Fehler beim Laden von C:\....\0.11147069800381426.exe.lnk (RUNDLL-Fehlermeldung)
 

Servus. Bin neu hier.
Vor wenigen Tagen machte ich Bekanntschaft mit dem "Bundespolizei-Trojaner" auch "Ukash" genannt.
Als Schutz hatte ich Avira (gehabt). Hat wohl nicht geholfen.
Bislang habe ich durchgeführt:
- Wiederherstellung des Systems zu einem früheren Zeitpunkt
Durch Wiederherstellung des Systems war der Bildschirmblocker nicht mehr aktiv.
Aber.... Beim Systemstart eine Fehlermeldung mit der Überschrift "RUNDLL" vorhanden: "Fehler beim Laden von C:\WINDOWS\~Lokale\Temp\...\0.11147069800381426.exe.lnk - Das angegebene Modul wurde nicht gefunden."
Deshalb habe ich durchgeführt:
- Gemäß Anleitung von chip.de Antivirusprogramm weg, stattdessen Microsoft Security Essentials (diese Anleitung finde ich nicht mehr, also kann ich hier keinen link dazu einfügen)
- Gemäß Anleitung von chip.de den Kaspersky WindowsUnlocker benutzt
Anleitung von chip.de: hxxp://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html
Anschließend ist nach wie vor beim Systemstart die Fehlermeldung vorhanden gewesen.
Also führte ich durch:
- Malwarebytes
Hier das Logfile von mbam:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.05.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Gaspar :: ADMIN-B7BC655BD [Administrator]

Schutz: Aktiviert

05.04.2012 23:35:48
mbam-log-2012-04-05 (23-35-48).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 284781
Laufzeit: 1 Stunde(n), 39 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Gaspar\Startmenü\Programme\Autostart\0.11147069800381426.exe.lnk (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Nach erneutem Neustart ist zu meiner Freude die Fehlermeldung weg.
Nun weiß ich nicht, ob das System somit auch "clean" ist. Oder, ob ich doch noch weitere Tools einsetzen muß. Vor allem, weil ich an anderer Stelle hier - Post von g3k0 mit dem Titel "Fehler beim Laden von C:\...\dcopegy.dll" - gesehen habe, dass noch einige Maßnahmen durchgeführt wurden... :confused:

Hoffentlich habe ich alles ausreichend gut beschrieben.

Für etwaige Anfängerfehler sorry,
im Voraus dankbar für Hilfestellung in dieser Sache,
grasp

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner - Installer herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

gruß
kira

Hallo kira,

1. OTL-Scan

OTL-Txt
Extras-Txt



2. Liste der Programme


Danke für die Betreuung,
g

1.
die Trusted-Zone Einträge (015) sind von dir also absichtlich zur vertrauenswürdigen Zone zugefügt?
2.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

3.
Java aktualisieren- über Systemsteuerung-> Nach Update suchen...
oder:
Downloade nun die Offline-Version von Java "Empfohlen Version 6 Update 31 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

4.
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
  Achte darauf, eventuell angebotene Toolbar nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar (falls nötig), entfernen.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

6.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

7.
-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<

8.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

9.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

10.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

Servus,

01.
Die Einträge wurden wohl von einem Onlinebanking-Programm eingetragen. Da ich es aber nicht nutze, würde ich gar gerne alles von "Banco do Brasil" aus meinem System löschen wollen. Vielleicht kannst Du mir im Verlauf Anweisungen dazu geben...

...Aber zunächst einmal zurück zur Hauptsache...

Nach der Episode mit dem Ukash-Trojaner habe ich aufgrund des ungenügenden Schutzes meinen damaligen Virenschutz entfernt (McAfee Freeware) und Microsoft Security Essentials (soweit erinnerlich auf Empfehlung aus chip.de) installiert. Außerdem ist seit gestern auch Malwarebytes installiert (als Vollversion-Testlauf).
In diesem Kontext habe ich folgende mehrteilige Zwischenfrage:
1a.
Ist der Schädlingschutz aktuell ausreichend? Falls nein, was könntest Du mir empfehlen?
1b.
Microsoft Security Essentials (MSE) verlangt eine Legitimitätsüberprüfung über die Microsoft(MS)-Website. Die möchte ich nicht durchführen, da mein System mit vorinstalliertem MS-Win sowie MS-O läuft ohne vorliegenden Install-Material (CD etc.). Daher auch diesen Teil der Frage: Wie vorgehen - Sollte aus genanntem Grund lieber MSE deinstalliert werden? Falls ja, muß ich etwas beachten für eine rückstandsfreie Deinstall (keine Aufforderungen bezgl. Onlineüberprüfungen bei MS etc...)? Und wenn Deinstall, wodurch MSE ggf. ersetzen (zurück zu 1a.)?
1c.
Soll ich (bei den von Dir heute vorgeschlagenen Schritten) dort wo es heißt "Antivirus abschalten" also Microsoft Security Essentials sowie Malwarebytes(MB) und ggf. auch andere ausschalten? (ist auf den ersten Blick wahrscheinlich eine Blöde Frage. Aber die Software (MSE und MB) wird auf den ersten Blick nicht direkt als "Antivirus" bezeichnet...)

Außerdem:
Beim durchlesen Deiner Anweisung (schön ausführlich - vielen Dank!) habe ich den Eindruck, dass Punkt 9. mitten in einem Satz anfängt:
"9.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:........"
Fehlen vor "läuft unter XP,....." vielleicht ein Paar Worte?

Warte dann auf Deine Rückmeldung.
Und mache sowenig wie möglich am PC. Und stets mit Standby ein-/auszuschaten (aus dem (Aber-)Glaube, dass dadurch "unsichtbare" schädliche Systemstart-Autoruns gemieden werden...)

Danke im Voraus für die Aufklärung, und weiterhin für die Betreuung.
Gruß,
g

werd ich ja machen

ja, noch mehr Schutzprogramm zusätzlich oder andere zu installieren nicht nötig, erkennt nicht jedes AV-Programm jeden Virus, "perfekte" Programm gegen die Viren & Co gibt es sowieso nicht!
zur Info:
► Ein Anti-Viren-Programm bzw. Spezial-Tool,kann nur vor jenen Viren schützen bzw. entfernen, die es auch kennt. Leider sehr oft Virenprogrammierer sind schneller auf dem Markt mit ihrem Produkt als Antivirenprogrammierer mit dem Gegenmittel. Es ist daher ganz natürlich, dass vom Zeitpunkt des Auftretens eines neuen Virus eine bestimmte Zeit vergeht,bis der Antivirenhersteller ein Gegenmittel in Form von Virendefinitionsfiles bereithält.;)[/quote]


nein!

Ja...

sicher doch, MSE ist ein AV-Programm
Malwarebytes nicht, aber wie ich gesehen habe, läuft aktiv, muss nicht sein!:
um den Autostart von Windows XP zu verwalten:-> "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK -> Systemstart-> Häckhen raus-> Neustart


Habe doch klar beschrieben, läuft unter 32Bit Systeme. da war es nicht nötig extra alle Betriebsysteme auflisten!

Hallo,

Kurz ein "Intermezzo"
Nach der Durchführung Deiner Anweisung:
"um den Autostart von Windows XP zu verwalten:-> "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK -> Systemstart-> Häckhen raus-> Neustart"
komme ich in eine Art "Endlosschleife".... Es passiert nämlich folgendes:
Nach Systemneustart
1
kommt folgende Meldung:
„Systemkonfigurationsprogramm
Sie haben das Systemkonfigurationsprogramm verwendet, um einige Änderungen an den Windows-Startoptionen vorzunehmen.
Das Systemkonfigurationsprogramm befindet sich zurzeit im Diagnosemodus oder im Modus für den benutzerdefinierten Systemstart. Daher wird diese Mitteilung angezeigt und dieses Programm bei jedem Windows-Systemstart ausgeführt.
Wählen Sie den normalen Systemstart auf der Registerkarte „Allgemein“, um Windows normal zu starten und sämtliche Änderungen, die unter Verwendung des Systemkonfigurationsprogramm durchgeführt wurden, rückgängig zu machen.“
Nach click auf "OK"
2
wird dann das Systemkonfigurationsprogramm geöffnet in der Registerkarte „Allgemein“:
Systemstartauswahl
Benutzerdefinierter Systemstart
Hier sind dann Häckchen an:
Datei SYSTEM.INI verarbeiten
Datei WIN.INI verarbeiten
Systemdienste laden
3
In der Registerkarte „Systemstart“ sieht es dann so aus:
Häckchen an:
igfxtray
igfxpers
hkcmd
Keine häckchen an:
AdobeARM
LifeExp
mbamgui
asseces
msmsgs
launcher
jusched
tp4mon
BTTray
Wenn ich auf OK gehe (da erwartete ich, dass das Systemkonfigurationsprogramm schließt)
4
kommt folgende Meldung:
„Systemkonfiguration
Es wurde ein Zugriffsverweigerungsfehler, beim Versuch einen Dienst zu ändern, zurückgegeben. Sie können sich als Administrator anmelden, um diese Änderung durchzuführen“
Nach click auf OK kommt dann
5
„Systemkonfiguration
Sie müssen den Computer neu starten, damit alle Änderungen an der Systemkonfiguration wirksam werden“
Dann gehe ich auf „Computer neu starten“
6
Danach geht bei Systemneustart es von vorn (also bei 1) los.
:confused:
7
Beim Neustart habe ich dann in der Meldung (siehe 1) unten in das Kästchen "Programm nicht ausführen & Meldung nicht mehr anzeigen" ein Häckchen gesetzt
Nun frage ich Dich: Ist alles ok so? Oder sollte ich irgendwo bei „Systemstart“ im Systemkonfigurationsprogramm doch ein Häckchen irgendwo wieder dran machen?

....Nun zurück zur Hauptsache....

Textfile nach OTL-Fix

...Weiter...

Java aktualisierung: erfolgt

Systemreinigung mit CC-cleaner: erfolgt

Superantispyware: Scan Log
Die Threats wurden dann durch Superantipyware auf Quarantäne gesetzt und entfernt.

...Weiter...

Autorun ausschalten: erfolgt mit TweakUI

Externe Datenträger: angechlossen ohne Autorun

Online Scan mit Eset: erfolgt

...Weiter...

Scan mit OTL: erfolgt

OTL.txt
Beim 1. Run war im OTL die Option "Extra-Registrierung" auf "aus"
Nach Änderung auf "Benutze SafeList" nun nochmal die Dateien

OTL.Txt
Extras.Txt
...Zwischenfrage...
Sollte ich mit sorgen machen wegen des Eintrags
"Error - 09.04.2012 14:02:46 | Computer Name = ADMIN-B7BC655BD | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D."
aus Extras.Txt vom OTL-Scan??

...Weiter...

GMER: hat nicht gefunzt (gemäß Anleitung keinen 2. Versuch gestartet)

...Weiter...

MBR-Check: erfolgt
Logfile

Kannst Du mir bitte Kommentare schreiben, auch zu den Zwischenfragen?
-Bezügl Microsoft Security Essentials und Legitimitätsüberprüfung (s. meinen Post von vorgestern) bei Vorinstalliertem MS-O ohne CD/key - bitte um Vorschlag... MSE deinstallieren, anderes Prog stattdessen (falls ja, welches?)
-Bezügl Trusted Zone Einträge checken ggf. bereinigen (s. Deinen Post von vorgestern) - Vorgehensweise? Oder sind die vielleicht durch die Scans/Runs von heute doch beseitigt worden?

Gruß und Danke für die Unterstützung
g

wo und wann habe Dir empfohlen in den Autostart zu gehen? was wolltest Du dort machen?

In Deinem Antwort-Post vom 08.04.2012, 07:25h nach dem vorletzten Zitat-Kommentar steht:

ahja stimmt" Das Malwarebytes solltest aus dem Autostart/Systemstart herausnehmen (Häckhen bei Malwarebytes wegnehmen)! hast Du aber ich denke was anderes gemacht...!-> http://www.trojaner-board.de/113224-...tml#post811476

Hallo,
- habe über msconfig "normale Konfiguration" gesetzt und dann bei Malwarebytes die Häckchen raus. Bislang keine Probleme mit dem System.

Ich hätte noch folgende offene Fragen:
- Bezügl Microsoft Security Essentials und Legitimitätsüberprüfung (s. meinen Post von vorgestern) bei Vorinstalliertem MS-O ohne CD/key - bitte um Vorschlag... MSE deinstallieren, anderes Prog stattdessen (falls ja, welches?)
- Bezügl Trusted Zone Einträge checken ggf. bereinigen (s. Deinen Post von vorgestern) - Vorgehensweise? Oder sind die vielleicht durch die Scans/Runs von heute doch beseitigt worden?

Danke für die Betreuung,
g

meinst Microsoft Office ohne Product Key? ohne funktioniert nicht. entweder man kauft sich Lizenz, oder soll das Programm runter. Ich empfehle dir hierzu das kostenlose Programm -> http://www.openoffice.org/de/

danach werd ich ein frisches OTL-Log benötigen:
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritte 6. & 7. habe ich doch durchgeführt und gepostet:

NEIN, das hast Du noch immer nicht!:-> http://www.trojaner-board.de/113224-...tml#post810563

Du musst dich mehr auf die Aufgaben konzentrieren, ob wir nicht langsam den Überblick verlieren?!

Hi
Vielleicht liegt ein Mißverständnis vor
Laut Deinem Post sind die Schritte 6. und 7. ja folgende:

In meinem langen Antwortpost schrieb ich zwischen dem Log von SuperAntiSpyware und dem Log von OTL folgendes:

Oder meinst Du andere Schritte?

Gruß
g