Virtumondo/Trojan Vundo entfernen

Status
Für weitere Antworten geschlossen.

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
[COLOR= blue]Führe den Vundo Entferner nach folgender Anleitung aus:[/COLOR]

  • Lade
    Please, Anmelden or Registrieren to view URLs content!
    auf deinen Desktop und starte sie mit einem Doppelkick.
  • Nachdem VundoFix sich geöffnet hat klicke auf "Scan for Vundo".
  • Nach dem Ende des Scans klicke auf "Remove Vundo".
  • Die Frage ob Du die Dateien entfernen willst beantworte mit "Ja".
  • Danach verschwindet dein Desktop, das ist normal während der Entfernung.
  • Wenn dies fertig ist wird dir mitgeteilt, daß dein Rechner runtergefahren wird. Klicke OK.
  • Es ist möglich daß VundoFix eine Datei findet die es nicht entfernen kann. In diesem Fall startet VundoFix nach dem Neustart wieder, führe dann die Anleitung wieder ab "Scan for Vundo" aus.
  • Nachdem VundoFix endgültig fertig ist poste den Inhalt von C:\vundofix.txt.
Außerdem benenne Hijackthis um (z.B. in jacky.exe) und fertige damit ein neues Log an und poste dies ebenfalls.

[COLOR= red]Information über Adware Virtumondo[/COLOR]

Die Adware Virtumondo/Trojan Vundo ist in der Regel erkennbar an zwei Einträgen im HijackThis Logfile, die gleich lauten:

Beispiel:

O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\system32\sstqq.dll
O20 - Winlogon Notify: sstqq - C:\WINDOWS\system32\sstqq.dll


Die Buchstaben sind frei gewählt, also random.

Sollte beispielsweise im HijackThis Logfile nur der O2 - BHO Wert auf die Anwesenheit des Trojan Vundo/Adware Virtumondo hinweisen oder kein Hinweis mehr vorhanden sein, aber ein Antivirus Programm angeben, diese Malware - mittlerweile auch TR/Vundo.Gen genannt - auf einem System festgestellt zu haben, kann man die hijackthis.exe umbenennen in beispielsweise jacky.com. Bitte nicht vergessen, das Programm HijackThis nach dem Scan wieder zurückzubenennen, sonst funktionieren die anderen Funktionen nicht mehr.

Der Scan mit dem umbenannten Programm HijackThis zeigt dann wieder die gewohnten Einträge. Das ist aber nur eines der Hilfsmittel, zum auffinden der Dateien, es geht auch anders:

Trojan Vundo/Adware Virtumondo Dateien können mit der
Please, Anmelden or Registrieren to view URLs content!
(
Please, Anmelden or Registrieren to view URLs content!
) auf dem System festgestellt werden. Sie befinden sich im System Ordner von Windows.
Normalerweise ist dies C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000) oder C:WindowsSystem32 (Windows XP).

Es handelt sich dabei sowohl um *.dll als auch um*.exe Dateien, sowie um Dateien mit den Endungen

C:\WINDOWS\system32\yyxyb.ini
C:\WINDOWS\system32\yyxyb.bak1
C:\WINDOWS\system32\yyxyb.bak2
C:\WINDOWS\system32\yyxyb.ini2

Wie in diesem Beispiel angegeben, ist darauf zu achten, dass die Buchstabenfolgen vor den Endungen die gleichen sind.

Das Logfile des VundoFix (vundofix.txt) kann beispielsweise so aussehen:

[COLOR= green]
VundoFix V6.1.2[/COLOR]


[COLOR= green]
[/COLOR]

[COLOR= green]Checking Java version...[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Sun Java not detected
Scan started at 10:37:37 24.08.2006
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Listing files found while scanning....[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]C:\WINDOWS\system32\byxyy.dll
C:\WINDOWS\system32\yyxyb.ini
C:\WINDOWS\system32\yyxyb.bak1
C:\WINDOWS\system32\yyxyb.bak2
C:\WINDOWS\system32\yyxyb.ini2
C:\WINDOWS\system32\yyxyb.tmp
C:\WINDOWS\system32\anbxhvqa.exe
C:\WINDOWS\system32\fejtdbyv.exe
C:\WINDOWS\system32\hyjtiwou.exe
C:\WINDOWS\system32\jjscdgdx.exe
C:\WINDOWS\system32\kmlvbtnk.exe
C:\WINDOWS\system32\pamnguyt.exe
C:\WINDOWS\system32\rawyxqbi.exe
C:\WINDOWS\system32\rvsogqpj.exe
C:\WINDOWS\system32\sxqncdnn.exe
C:\WINDOWS\system32\vkrqelyt.exe
C:\WINDOWS\system32\whyrnhxw.exe
C:\WINDOWS\system32\wsggavru.exe
C:\WINDOWS\system32\ygqbqyaw.exe
C:\WINDOWS\system32\ynwribdq.exe
C:\WINDOWS\system32\ypuvtrlw.exe
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Beginning removal...[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\byxyy.dll
C:WINDOWSsystem32byxyy.dll Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\yyxyb.ini
C:WINDOWSsystem32yyxyb.ini Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\yyxyb.bak1
C:WINDOWSsystem32yyxyb.bak1 Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\yyxyb.bak2
C:WINDOWSsystem32yyxyb.bak2 Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\yyxyb.ini2
C:WINDOWSsystem32yyxyb.ini2 Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\yyxyb.tmp
C:WINDOWSsystem32yyxyb.tmp Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\anbxhvqa.exe
C:WINDOWSsystem32anbxhvqa.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\fejtdbyv.exe
C:WINDOWSsystem32fejtdbyv.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\hyjtiwou.exe
C:WINDOWSsystem32hyjtiwou.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\jjscdgdx.exe
C:WINDOWSsystem32jjscdgdx.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\kmlvbtnk.exe
C:WINDOWSsystem32kmlvbtnk.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\pamnguyt.exe
C:WINDOWSsystem32pamnguyt.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\rawyxqbi.exe
C:WINDOWSsystem32rawyxqbi.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\rvsogqpj.exe
C:WINDOWSsystem32rvsogqpj.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\sxqncdnn.exe
C:WINDOWSsystem32sxqncdnn.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\vkrqelyt.exe
C:WINDOWSsystem32vkrqelyt.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\whyrnhxw.exe
C:WINDOWSsystem32whyrnhxw.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\wsggavru.exe
C:WINDOWSsystem32wsggavru.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\ygqbqyaw.exe
C:WINDOWSsystem32ygqbqyaw.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\ynwribdq.exe
C:WINDOWSsystem32ynwribdq.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Attempting to delete C:\WINDOWS\system32\ypuvtrlw.exe
C:WINDOWSsystem32ypuvtrlw.exe Has been deleted!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Performing Repairs to the registry.
Done!
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]VundoFix V6.1.2[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Checking Java version...[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Sun Java not detected
Scan started at 10:47:25 24.08.2006
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Listing files found while scanning....[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]No infected files were found.[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]VundoFix V6.1.2[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Checking Java version...[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Sun Java not detected
Scan started at 12:58:17 27.08.2006
[/COLOR]

[COLOR= green]
[/COLOR]

[COLOR= green]Listing files found while scanning....
[/COLOR]


[COLOR= blue]
Bei Anwendung von Windows XP und ME ist darauf zu achten, dass die Systemwiederherstellung im Wechsel erst deaktiviert, der Rechner gebootet und die SWH dann wieder aktiviert wird. Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Bitte einen neuen Systemwiederherstellungspunkt erstellen.[/COLOR]


Quelle:
Please, Anmelden or Registrieren to view URLs content!


 
Status
Für weitere Antworten geschlossen.
Oben