| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.FUL.9.A removeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
20.11.2008, 21:04
| #1 |
 |  TR/Vundo.FUL.9.A remove Ich merke grad laut dem log von avenger das ich was falsch gemacht habe!!! hier mal die log datei: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" Deletion of file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
|
20.11.2008, 21:20
| #2 |
| | TR/Vundo.FUL.9.A remove hmm...
__________________lass mal vorher das tool cleanup laufen um alle teporären internet-dateien zu löschen. hast du avenger auch wirklich im abgesicherten modus laufen lassen? evtl auch auch mal auf arbeitsplatz, dann auf "extras", dann auf "ordneroptionen", dann auf "ansicht" und die versteckten ordner und dateien sichtbar machen. |
|
20.11.2008, 21:31
| #3 | |
| | TR/Vundo.FUL.9.A removeZitat:
Einfach die genannte Zeile nochmal mit dem "Folders to Delete:" Befehl killen und kein nerviges Gepiepe mehr. Das ging übrigens auch ohne abgesicherten Modus ganz prima. Zusätzlich hatte ich aber im ersten Durchlauf noch eine dll aus dem Logfile mit "Files to Delete:" entfernt. Viel Glück! Hoffe, dass jetzt alles schön bleibt, nachdem ich den ganzen Nachmittag drauf verschwendet hab...  |
|
20.11.2008, 21:37
| #4 |
| | TR/Vundo.FUL.9.A remove Und dicken Dank an Mitch84 für die Rettung!  |
|
20.11.2008, 21:47
| #5 |
| | TR/Vundo.FUL.9.A remove mir ist selbst noch ein fehler aufgefallen: unten in den avenger darf es nicht heißen: c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe [1448] 0x89FEADA0 sondern: c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe das ist wichtig.der teil hinter .exe gehört nicht zur datei, so kann avenger ihn nicht finden. vllt kann ein admin das ja noch ändern. wäre nett. |
|
20.11.2008, 22:16
| #6 |
| | TR/Vundo.FUL.9.A remove Stimmt hat Mitch schon geil geposted!!! Hat nu auch endlich gefunzt!!! |
|
22.11.2008, 02:01
| #7 |
| | TR/Vundo.FUL.9.A remove hallo erstmal, ich habe wie so einige andere hier auch Probleme mit diesem verdammten TR/Vundo.FUL.9.A....ich hab es auch nach dieser Anleitung hier zunächst versucht und das mit Combofix klappt auch noch alles ganz gut,allerdings erzielt Avenger bei mir nich den gewünschten Erfolg....ich stelle mir die Frage ob ich überhaupt den richtigen Avenger habe. Meiner heißt Malware Avenger 1.0 und ist in deutscher Ausführung,allerdings scannt er nur.er findet den Virus,doch lässt der sich damit nicht entfernen da dann immer die Meldung kommt "Removal failed". Ich finde auch in meinem Avenger die Funktionen "Folders to delete" oder "Files to delete" nicht. Wäre nett wenn mir jemand mal sagen könnte wo ich den richtigen Avenger herbekomme falls es der falsche ist oder mir zumindest sagt wie ich mit meinem umzugehen habe,denn ich habe absolut keinen Plan davon und würd diesen dummen Trojaner schon gerne wieder loswerden ohne meinen Rechner komplett neu aufzusetzen^^ Danke schonmal im Vorraus |
|
22.11.2008, 12:09
| #8 |
| | TR/Vundo.FUL.9.A remove Hallo, hier habe ich alles nochmal vereinfacht! denke so sollte es auch klappen, nur etwas leichter und sicherer (ohne combofix) ihr braucht folgende programme: antivir, cleanup (Ccleaner) und avenger. hier kann sie laden: http://filepony.de/download-the_avenger/ ist auch jeweils eine anleitung bei. Achtung: da der trojaner anscheinend in unterschiedlichen pfaden zu finden ist sind die unten angegebenen pfade nur als beispiel zu sehen. so, und jetzt los: 1. antivir meldet den fund. den pfad auf jeden fall aufschreiben. (bei mir war es z.b.: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.core.dll) jetzt den antivir-guard deaktiviren damit erstmal ruhe ist und bei den bereits geöffneten meldefenstern den punkt auf ignore setzen. 2. Cleanup laufen lassen! 3. den pc im abgesicherten modus starten (einschalten und solange F8 drücken bis man es auswählen kann ;-) ) 4. den avenger starten. jetzt schon mal in das geöffnete fenster --> Files to Delete: <--- schreiben. 2 zeilen darunter dann das was ihr euch aufgeschrieben habt (von der meldung von antivir) reinschreiben und JETZT das ".core.dlll" einfach in ".exe" ändern. beispiel: Files to Delete: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe jetzt auf execute klicken und im log nachschauen ob er ihn erfolgreich löschen konnte. 5. die registry bereinigen. (am besten vorher ein backup machen) start-->ausführen--->regedit eingeben--->[HKEY_LOCAL_MACHINE--->system--->ControlSet001--->Services--->XXXXXXXXXXXX<--- diesen ordner rechtsklick und dann löschen. XXXXXXXXX steht für den ordner der so ähnlich heißt wie der fund bei antivir! so, jetzt pc neu starten und mit antivir eine vollständige systemprüfung durchfüren. übernehme natürlich keine garantie oder haftung dafür... |
|
| Themen zu TR/Vundo.FUL.9.A remove |
| .com, abgesicherten modus, anleitung, antivir, antivir meldet, combofix, entfernen, folge, gen, highjackthis, klicke, log, nicht angezeigt, problem, profi, programme, registry, services, starten, system, tipps, tools, tr/vundo.ful.9.a, trojaner, versteckte, virus, virustotal, windows |
Hybrid-Darstellung
