ComputerBase Menü
Aktuelles

Infiziert mit : MemScan:Trojan.Vundo.DLO

I

itze88

Cadet 4th Year
Registriert
Nov. 2006
Beiträge
72
hi alle zusammen

habe seit kurzem das problem das mir '' bitdefender '' immer anzeigt : Infiziert mit : MemScan:Trojan.Vundo.DLO ? datei wird dann von bitdefender gelöscht und dann will es den rechner neu starten was ich dann auch tue und wenn er dann neu hochgefahren ist kommt nach kurzer zeit die selbe meldung wieder und die datei ist dann auch im genannten verzeichnis wieder da ? habe dann auch andere programme scannen lassen ( Ad-Aware SE Personal oder Spybot usw. ) aber hat alles nix gebracht ! und seitdem ich das problem habe gehen auch immer wieder mal merkwürdige seiten auf wo steht ich soll mir ein viren programm runterladen oder den PC scannen lassen , diese seiten gehen halt immer von ganz alleine auf ? und dann ist auch mein gesammter rechner irgendwie lahm gworden und der firefox startet auch mit mehreren sekunden ( 10 - 15 sek. ) verspätung ?
also ich bin schon fast dran mein system neu aufzusetzen aber vielleicht kann mir ja hier jemand helfen ?

mfg itze88
 
geh mal nach dieser anleitung vor.

wobei - ein neu aufgesetztes system ist doch auch etwas schönes.
 
Also VundoFix hat 4 dateien gefunden bin dann den anweisungen gefolgt und system ist neu gestartet soweit so gut aber sind die viren jetzt weg ( trojaner ) ? oder soll ich nochmal scannen lassen mit Voundo ?

mfg itze88
 
also '' Bitdefender '' bringt immer noch diese zwei warnmeldungen ! kann man da etwas tun dagegen ?

mfg itze88
 

Anhänge

  • virenmeldung.JPG
    virenmeldung.JPG
    121,5 KB · Aufrufe: 567
also habe VundoFix jetzt 4 mal durch scannen lassen aber es findet immer wieder neue dateien und Bitdefender zeigt auch immer wieder die selben warnungen an ?
was soll ich jetzt noch tun ?

kann mir jemand noch etwas besser helfen hier ?
wäre euch dakbar für eine wirklich funktionierende hilfe !

mfg itze88
 
jo kann man , die datei c:\windows\system32\awtqnkh.dll ist virenbestandteil (habe mal gerade gegoogelt) du kannst sie gefahrlos löschen (oder besser gesagt ich empfehle dir das zu tun) .

Gegen zweitere meldung solltest du mal clearprog durchlaufen lassen und damit deine Firefox verlaufsdaten löschen lassen . (ich weiss nicht genau , wie zuverlässig die integrierte funktion von firefox dazu ist , kannst dir ja mal Extras -> Private daten löschen ansehen )

Und poste bitte mal dein Hijackthis logfile
Hijackthis: http://www.merijn.org/files/HiJackThis_v2.exe
 
Zuletzt bearbeitet von einem Moderator:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:38:51, on 20.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\itze\Eigene Dateien\Programme\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F676760-96A6-4E27-A8A5-8B31944E365B} - C:\WINDOWS\system32\wvwuu.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\rxaiynhb.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {89395594-0331-455D-AE2A-4B5A1EB33BD0} - C:\WINDOWS\system32\awtqnkh.dll
O2 - BHO: (no name) - {9C55C66A-4949-4D69-AAAA-3B7890D80142} - C:\WINDOWS\system32\mllkh.dll (file missing)
O2 - BHO: (no name) - {FDB1A590-DF5A-46E3-AED4-5D5281963FD0} - C:\windows\system32\ssqnk.dll (file missing)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
O20 - Winlogon Notify: wvwuu - C:\WINDOWS\system32\wvwuu.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: DirectX Service (DirectKycn) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6081 bytes
 
Unbekannt und wahrscheinlich schädlich:
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll

O20 - Winlogon Notify: wvwuu - C:\WINDOWS\system32\wvwuu.dll

Schädlich:
C:\WINDOWS\system32\directx.exe (es handelt sich hierbei nicht um Microsofts directx)

Solltest mal a-squared free durchlaufen lassen.
http://www.emsisoft.de/de/software/download/
 
Zuletzt bearbeitet von einem Moderator:
PS :

und die datei '' C:\WINDOWS\system32\awtqnkh.dll '' lässt sich nicht löschen da kommt diese meldung '' kann nicht gelöscht werden: Die Quelldatei oder vom Quelldatenträger kann nicht gelesen werden '' ?

mfg itze88
 
versuchs mal über die cmd Ausführen-> cmd -> und dort :

del '' C:\WINDOWS\system32\awtqnkh.dll ''

falls das auch nicht geht , würde ich windows im abgesicherten modus starten und die datei löschen
 
und wie bekomme ich die dateien die du da oben genannt hast wieder weg ?

mfg itze88
 
löschen - mehr kann ich dir auch nicht sagen. Wenn sie sich nicht löschen lassen gehe in den abgesicherten modus .
 
bei ausführen kommt dies hier siehe bild
 

Anhänge

  • Unbenannt.JPG
    Unbenannt.JPG
    121,1 KB · Aufrufe: 505
du hast zwischen dem del und dem pfad zwei zeichen zuviel . kopier das hier einfach rein:

del ''C:\WINDOWS\system32\awtqnkh.dll''
 
also im abgesicherten modus kann man die datei auch nicht löschen da wird mir gesagt das sie von einem andern programm oder person verwendet wird ?

und zu der neuen eingabe bei ausführen siehe bild
 

Anhänge

  • Unbenannt2.JPG
    Unbenannt2.JPG
    108,2 KB · Aufrufe: 443
und wenn ich das kommplette reinkopiere dann kommt das hier : siehe bild
 

Anhänge

  • Unbenannt3.JPG
    Unbenannt3.JPG
    96,4 KB · Aufrufe: 464
Diesen Trojaner hatte ich vor 4 Wochen auch auf meinem Laptop. Habe anschliessend die Internetsecurity Suite von Mc Afee gekauft und er konnte den troyaner ohne Probleme und wiederkehren Löschen.

gruss wesi
 
Suche und lösche folgende Dateien und Einträge in Deinem HiJackThis Log:

> O2 - BHO: (no name) - {1F676760-96A6-4E27-A8A5-8B31944E365B} - C:\WINDOWS\system32\wvwuu.dll
> O2 - BHO: (no name) - {89395594-0331-455D-AE2A-4B5A1EB33BD0} - C:\WINDOWS\system32\awtqnkh.dll
> O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
> O20 - Winlogon Notify: wvwuu - C:\WINDOWS\system32\wvwuu.dll

Um aktuell benutzte Dateien löschen zu können bieten sich der Unlocker oder die Killbox an. Die Killbox hat den Vorteil das sie nur entpackt und gestartet werden muss. Der Unlocker integriert sich sehr praktisch ins Kontextmenü.
http://ccollomb.free.fr/unlocker/
http://www.bleepingcomputer.com/files/killbox.php

Verdächtige Dateien können hier auf Virenbefall hin untersucht werden:
http://virusscan.jotti.org/de/

Lösche folgende Einträge in Deinem HiJackThis Log:

> O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\rxaiynhb.dll (file missing)
> O2 - BHO: (no name) - {9C55C66A-4949-4D69-AAAA-3B7890D80142} - C:\WINDOWS\system32\mllkh.dll (file missing)
> O2 - BHO: (no name) - {FDB1A590-DF5A-46E3-AED4-5D5281963FD0} - C:\windows\system32\ssqnk.dll (file missing)
> O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
> O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
> O23 - Service: DirectX Service (DirectKycn) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

Das Löschen von Schadcode sollte am besten im abgesicherten Modus und bei deaktivierter Systemwiederherstellung erfolgen.
http://www.bsi.bund.de/av/texte/wiederher.htm
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Dr.Death
Laptop und Desktop infiziert - oder nicht?
Antworten
13
Aufrufe
1.929
Backslash
Backslash
Wischbob
memscan:trojan.Vundo.enf kann ihn nicht löschen..
Antworten
4
Aufrufe
2.741
Wischbob
Wischbob
Andy4
Leserartikel Malware / Spyware entfernen
2
Antworten
21
Aufrufe
156.018
NanoMil
NanoMil
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz