1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Kann Trojaner nicht löschen...

Discussion in 'Sicherheit' started by hanzzzz, Feb 3, 2008.

Thread Status:
Not open for further replies.
  1. hanzzzz

    hanzzzz Kbyte

    Hallo, seid gestern bekomme ich ständig von AntiVir eine Warnung. Es wird immer ein Trojanisches Pferd gefunden ( TR/Vundo.Gen ). Jedesmal wenn ich auf "Löschen" klicke erscheint die gleiche Meldung einige Sekunden später erneut. Ich hab dann mit AntiVir einen Suchlauf gestartet und es wurden 3 Trojaner gefunden, die ich löschen wollte, es aber nur nach Neustart möglich ist. Nach dem Neustart erscheinen wieder die Warnungen, und wieder kann ich die Trojaner nicht löschen...:confused::confused::confused:

    Hier meine Report Datei:

    Code:
    Versionsinformationen:
BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23.08.2007 12:16:24
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  14.08.2007 14:48:28
LUKE.DLL     : 7.0.5.3      147496 Bytes  14.08.2007 14:32:43
LUKERES.DLL  : 7.0.6.0       10792 Bytes  14.08.2007 14:49:04
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 12:59:54
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  25.01.2008 23:52:13
ANTIVIR3.VDF : 7.0.2.82     259072 Bytes  01.02.2008 16:01:42
AVEWIN32.DLL : 7.6.0.62    3240448 Bytes  02.02.2008 16:01:42
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 09:36:23
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18.07.2007 06:16:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  15.01.2008 18:31:12
AVREG.DLL    : 7.0.1.6       30760 Bytes  18.07.2007 06:17:02
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28.08.2007 11:26:28
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18.07.2007 06:10:14
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 10:09:03
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.08.2007 11:37:51
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  21.08.2007 11:50:28
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23.07.2007 08:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: G:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 3. Februar 2008  14:26

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47188' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SymWSC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CeEPwrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdskScSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\qomljii.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\qomljii.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen

Die Registry wurde durchsucht ( '41' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\mljjh.VIR
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\qomljii.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\dtscsi.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 3. Februar 2008  15:29
Benötigte Zeit:  1:02:45 min

Der Suchlauf wurde vollständig durchgeführt.

   8139 Verzeichnisse wurden überprüft
 354886 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 354883 Dateien ohne Befall
   7425 Archive wurden durchsucht
      6 Warnungen
      0 Hinweise
  47188 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
    Was ist denn da los?! Wie kann ich die Sachen löschen??

    Ich benutze WinXP und Service Pack 2


    Danke
     
    hanzzzz, Feb 3, 2008
    #1
  2. -humi-

    -humi- Joker

    hmm und schon mal die angepinnten Beiträge gelesen?

    Anleitung zur Schädlingsbekämpfung mal hinter meiner Signatur lesen
     
    -humi-, Feb 3, 2008
    #2
  3. Nevok

    Nevok Ganzes Gigabyte

    Hallo hanzzzz

    Ist bei dir die Systemwiederherstellung aktiv? Wenn ja, dann deaktiviere die Systemwiederherstellung. Wie man das macht, kannst du hier nachlesen:

    http://www.bsi.de/av/texte/wiederher_xp.htm

    Starte dann den Rechner, wie unter vorgenanntem Link beschrieben, im abgesicherten Modus und führe dort einen Virenscan durch. Nach Beendigung des Virenscans und der anschließenden Säuberung startest du den Rechner neu. Führe dann nochmals einen Virenscan durch. Wird nichts mehr gefunden, kannst du die Systemwiederherstellung wieder aktivieren.

    Gruß
    Nevok
     
    Nevok, Feb 3, 2008
    #3
  4. hanzzzz

    hanzzzz Kbyte

    Hi
    Ich habe die Systemwiederherstellung deaktiviert und im abgesicherten Modus einen Scan durchgeführt; es wurde zwar wieder einiges gefunden, konnte aber wie oben beschrieben nicht gelöscht werden:mad:

    Hier nochmals die Report Datei:

    Code:
    Versionsinformationen:
BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23.08.2007 12:16:24
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  14.08.2007 14:48:28
LUKE.DLL     : 7.0.5.3      147496 Bytes  14.08.2007 14:32:43
LUKERES.DLL  : 7.0.6.0       10792 Bytes  14.08.2007 14:49:04
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 12:59:54
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  25.01.2008 23:52:13
ANTIVIR3.VDF : 7.0.2.82     259072 Bytes  01.02.2008 16:01:42
AVEWIN32.DLL : 7.6.0.62    3240448 Bytes  02.02.2008 16:01:42
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26.02.2007 09:36:23
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18.07.2007 06:16:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  15.01.2008 18:31:12
AVREG.DLL    : 7.0.1.6       30760 Bytes  18.07.2007 06:17:02
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28.08.2007 11:26:28
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18.07.2007 06:10:14
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 10:09:03
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.08.2007 11:37:51
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  21.08.2007 11:50:28
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23.07.2007 08:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: G:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 4. Februar 2008  11:32

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\onbczojw.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.DWB
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\onbczojw.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.DWB
C:\WINDOWS\system32\qomljii.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\qomljii.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen

Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Büttner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9J80D5CY\CA14AXLF
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [INFO]      Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Büttner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLUDE385\tr[1]
      [FUND]      Ist das Trojanische Pferd TR/Vundo.DWB
      [INFO]      Die Datei wurde gelöscht.
C:\WINDOWS\system32\ddaby.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\mljjh.VIR
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [INFO]      Die Datei wurde gelöscht.
C:\WINDOWS\system32\onbczojw.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.DWB
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\qomljii.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\tdijetox.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.DWB
      [INFO]      Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\dtscsi.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 4. Februar 2008  12:57
Benötigte Zeit:  1:25:50 min

Der Suchlauf wurde vollständig durchgeführt.

   8136 Verzeichnisse wurden überprüft
 354128 Dateien wurden geprüft
      9 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      4 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 354119 Dateien ohne Befall
   7435 Archive wurden durchsucht
      8 Warnungen
      0 Hinweise

    Ich werde jetzt mal einen Hijackthis Log posten.
     
    hanzzzz, Feb 4, 2008
    #4
  5. hanzzzz

    hanzzzz Kbyte

    Also alles was huni mir geraten hat, habe ich gemacht, jedoch ohne Erfolg:mad: Die Virenmeldungen erscheinen -wie oben beschrieben- erneut:bahnhof:

    Ich habe Hijackthis ausgeführt
     

    Attached Files:

    hanzzzz, Feb 4, 2008
    #5
  6. Nevok

    Nevok Ganzes Gigabyte

    Folgende Einträge fixen:

    • O2 - BHO: {46d8f361-03f7-7e1b-8a24-bf1580d0eeb0} - {0bee0d08-51fb-42a8-b1e7-7f30163f8d64} - C:\WINDOWS\system32\bgpmqwfa.dll
    • O2 - BHO: (no name) - {7ABAC158-EF58-4B18-81B1-85F64EF89DA8} - C:\WINDOWS\system32\ddaby.dll
    • O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\onbczojw.dll (file missing)
    • Unbekannt
    • O2 - BHO: (no name) - {BED7C2B4-3DA5-4F4F-84F7-07CAB3418E5F} - C:\WINDOWS\system32\qomljii.dll
    • O2 - BHO: (no name) - {F97EB1DB-D459-4256-A567-5935D8E1CBC0} - C:\WINDOWS\system32\mljjh.dll (file missing)
    • O20 - Winlogon Notify: onbczojw - onbczojw.dll (file missing)
    • O20 - Winlogon Notify: qomljii - C:\WINDOWS\SYSTEM32\qomljii.dll

    Gruß
    Nevok
     
    Nevok, Feb 4, 2008
    #6
  7. -humi-

    -humi- Joker

    ergänzend zu Nevok:

    bitte diese mit deaktivierter Sys Wiederherstellung fixen

    Jedoch scheint mir der Hinweis auf mein Zitat hinter der Signa ganz unten sinnvoll
     
    -humi-, Feb 4, 2008
    #7
  8. hanzzzz

    hanzzzz Kbyte

    Das fixen hatte auch nicht gebracht; alles wie beim alten:mad::mad::mad:

    Dann muss ich nun das System Neuaufsetzen...

    Trotzdem Danke für Eure Bemühungen
     
    hanzzzz, Feb 4, 2008
    #8
  9. Nevok

    Nevok Ganzes Gigabyte

    Nevok, Feb 5, 2008
    #9
  10. VistaSly

    VistaSly ROM

    VistaSly, Feb 5, 2008
    #10
  11. hanzzzz

    hanzzzz Kbyte

    Vundofix hat auch nichts geholfen -.-"
     
    hanzzzz, Feb 5, 2008
    #11
  12. -humi-

    -humi- Joker

    hätt ich dir gleich sagen können...
    wie dir Nevok und ich raten:
    Neuaufsetzen
     
    -humi-, Feb 5, 2008
    #12
Thread Status:
Not open for further replies.

Share This Page