|
Plagegeister aller Art und deren Bekämpfung: jwgkvsq.vmx - so hab ich es weg gekriegtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.06.2011, 05:18 | #1 |
| jwgkvsq.vmx - so hab ich es weg gekriegt Moinsen Wer mag,, hier ein paar Infos in Sachen: "jwgkvsq.vmx" bzw.Worm.Downadup-114 kam gemeinsam mit dem Trojan.Agent-66921 (steckte in Autorun.inf) Die Virenscanner Avira und ClamAV haben ihn nicht gefunden, beide Dateien waren in der Systempartition nicht mehr vorhanden (der Trick!). das Ding ist aufgefallen, weil es die Namensauflösungen irgendwie so vergoben hat, daß der Browser microsoft, bitdefender, clamav etc nicht mehr erreichen konnte, ganz normale harmlose Seiten aber schon. Schadensauslöser: Unbekannt, email oder ein fremder Stick Nach Installation: Wurm installiert sich als dll (hier:fvmmezc) und trägt einen Phantasienamen (hier: tyshhyzs) als "legacy-Treiber" als Service bei den Diensten ein, trägt in die Registrierung einen Zeiger ein, der auf die richtige DLL zeigt. Die Besitzerrechte an den Registrierungsschlüssel und an der DLL werden eingeschränkt, und die Ursprünglichen Dateien Autorun und .vmx werden gelöscht. Die DLL ist zu sehen im Explorer, kann aber, da ein Dienst, nicht gelöscht werden. Lösung: - alle autorun.inf und jwgkvsq.vmx auch in Netz und Unterverzeichnissen suchen, jeweils als Administrator die Besitz- und Zugriffsrechte übernehmen, dann den alten Benutzer löschen, dann das "System"-Dateiattribut wegnehmen, und dann die Dateien löschen. - den Phantasienamen-Namen in der Registrierung suchen, für Schlüssel auch wieder Besitz übernehmen und dann Schlüssel löschen (ca 4-6*) - neu booten im abgesicherten Modus, die Treiber-DLL mit dem Wurm suchen, Besitzer Adnministrator hinzufügen, dann Attribut ändern, dann löschen. Dran denken: aktuell finden Scanner wohl nur die Installations-Dateien, aber nicht das fertig installierte Setup mit der Treiber-Datei. also am besten beim Virenhersteller meckern Und dran denken, es geht um die Registrierung, besser eine Sicherung machen Schaden: weiß ich nicht, internet ist wieder erreichbar. Zum Testen: Solange der Virus vorhanden ist, befinden sich auf einem jungfräulichden USB-Stick nach dem Andocken eine auforun.inf und im Ppaierkorb die jwgkvsq.vmx. Der Wurm verbreitet sich, wenn die Autorun-Funktion nicht ausgeschaltet ist. Das gleiche gilt für angeschlossene Lokale Freigaben(gemappte Laufwerke). Gibt es auf dem Netz-Laufwerk keinen Papierkorb, wird einer angelegt und das Ding dort reingeschoben. Lustig: Wird das Ding "normal" gelöscht, verschieb man es nur in den regulären Papierkorb, man muß es also endgültig löschen. hoffe, das hilft. mh |
19.06.2011, 16:10 | #2 |
/// Malware-holic | jwgkvsq.vmx - so hab ich es weg gekriegt ein system welches mit updates versorgt wird hilft noch viel besser.
__________________auch software von dritt anbietern. und ob weitere malware aktiv ist weist ja auch nicht.
__________________ |
19.06.2011, 16:57 | #3 |
| jwgkvsq.vmx - so hab ich es weg gekriegt sorry, kannst Du das bitte etwas ausführen, ich hab nicht verstanden, was Du meinst.
__________________Übrigens, falls das untergegangen ist: NACH dem Einnisten erkennen CLAM und AVIRA den Wurm NICHT ! Man findet ihn nur händisch im System oder indirekt über die neue Verseuchung beim Scan von frisch angestöpselten USB-Sticks. AV-Updates helfen da erstmal nicht mh |
19.06.2011, 16:59 | #4 |
/// Malware-holic | jwgkvsq.vmx - so hab ich es weg gekriegt es gibt nicht "den wurm" jeden tag gibts viele neue variannten. windows updates helfen aber, und das updaten der sonstigen software. denn dieser wurm nutzt sicherheitslücken. schließt diese und ihr habt ruhe. oder deaktiviere zusätzlich autorun. das hilft ebenfalls. man kann einiges an maßnamen zur vorbeugung treffen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.06.2011, 20:24 | #5 |
| jwgkvsq.vmx - so hab ich es weg gekriegt wie bitte? Ich verstehe Dich nicht. Sei doch froh, daß hier jemand was dazu geschrieben hat, daß Scanner diese conficker-variante bisher nicht erkennen, und wie man sie trotzdem los wird. Deine Belehrungen dazu empfinde ich grade mal als unpassend. mh |
19.06.2011, 20:28 | #6 |
/// Malware-holic | jwgkvsq.vmx - so hab ich es weg gekriegt ja, aber wenn man windows aktuell hällt ist es überhaupt nicht nötig etwas zu entfernen außerdem ist davon abzuraten selbst in der registry zu arbeiten wenn man davon keine ahnung hatt, desweiteren kommt eine malware selten allein, deswegen ist eine weitere analyse des systems nötig
__________________ --> jwgkvsq.vmx - so hab ich es weg gekriegt |
Themen zu jwgkvsq.vmx - so hab ich es weg gekriegt |
administrator, autorun.inf, avira, besitz übernehmen, bitdefender, booten, browser, defender, dll, email, explorer, installation, internet, jwgkvsq.vmx, laufwerke, löschen, microsoft, neu, nicht gefunden, nicht mehr, scan, seite, seiten, setup, suche, trick, unbekannt, virus, ändern |