| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: jwgkvsq.vmx - so hab ich es weg gekriegtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.06.2011, 05:18
| #1 |
| |  jwgkvsq.vmx - so hab ich es weg gekriegt Moinsen Wer mag,, hier ein paar Infos in Sachen: "jwgkvsq.vmx" bzw.Worm.Downadup-114 kam gemeinsam mit dem Trojan.Agent-66921 (steckte in Autorun.inf) Die Virenscanner Avira und ClamAV haben ihn nicht gefunden, beide Dateien waren in der Systempartition nicht mehr vorhanden (der Trick!). das Ding ist aufgefallen, weil es die Namensauflösungen irgendwie so vergoben hat, daß der Browser microsoft, bitdefender, clamav etc nicht mehr erreichen konnte, ganz normale harmlose Seiten aber schon. Schadensauslöser: Unbekannt, email oder ein fremder Stick Nach Installation: Wurm installiert sich als dll (hier:fvmmezc) und trägt einen Phantasienamen (hier: tyshhyzs) als "legacy-Treiber" als Service bei den Diensten ein, trägt in die Registrierung einen Zeiger ein, der auf die richtige DLL zeigt. Die Besitzerrechte an den Registrierungsschlüssel und an der DLL werden eingeschränkt, und die Ursprünglichen Dateien Autorun und .vmx werden gelöscht. Die DLL ist zu sehen im Explorer, kann aber, da ein Dienst, nicht gelöscht werden. Lösung: - alle autorun.inf und jwgkvsq.vmx auch in Netz und Unterverzeichnissen suchen, jeweils als Administrator die Besitz- und Zugriffsrechte übernehmen, dann den alten Benutzer löschen, dann das "System"-Dateiattribut wegnehmen, und dann die Dateien löschen. - den Phantasienamen-Namen in der Registrierung suchen, für Schlüssel auch wieder Besitz übernehmen und dann Schlüssel löschen (ca 4-6*) - neu booten im abgesicherten Modus, die Treiber-DLL mit dem Wurm suchen, Besitzer Adnministrator hinzufügen, dann Attribut ändern, dann löschen. Dran denken: aktuell finden Scanner wohl nur die Installations-Dateien, aber nicht das fertig installierte Setup mit der Treiber-Datei. also am besten beim Virenhersteller meckern Und dran denken, es geht um die Registrierung, besser eine Sicherung machen Schaden: weiß ich nicht, internet ist wieder erreichbar. Zum Testen: Solange der Virus vorhanden ist, befinden sich auf einem jungfräulichden USB-Stick nach dem Andocken eine auforun.inf und im Ppaierkorb die jwgkvsq.vmx. Der Wurm verbreitet sich, wenn die Autorun-Funktion nicht ausgeschaltet ist. Das gleiche gilt für angeschlossene Lokale Freigaben(gemappte Laufwerke). Gibt es auf dem Netz-Laufwerk keinen Papierkorb, wird einer angelegt und das Ding dort reingeschoben. Lustig: Wird das Ding "normal" gelöscht, verschieb man es nur in den regulären Papierkorb, man muß es also endgültig löschen. hoffe, das hilft. mh |
| Themen zu jwgkvsq.vmx - so hab ich es weg gekriegt |
| administrator, autorun.inf, avira, besitz übernehmen, bitdefender, booten, browser, defender, dll, email, explorer, installation, internet, jwgkvsq.vmx, laufwerke, löschen, microsoft, neu, nicht gefunden, nicht mehr, scan, seite, seiten, setup, suche, trick, unbekannt, virus, ändern |
Baum-Darstellung