| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.FUL.9.A removeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
20.11.2008, 17:36
| #1 |
 |  TR/Vundo.FUL.9.A remove hallo, ich habe hier eine kleine anleitung erstellt wie man den trojaner TR/Vundo.FUL.9.A vom system entfernen kann. verwendete programme: antivir, combofix und avenger da viele das problem haben das sie ihn nicht angezeigt bekommen (sei es im system32-ordner oder auch in der registry) bringen auch die tipps mit z.b.: virustotal nichts. auch das einstellen der ordner-optionen um alle versteckten elemente sichtbar zu machen war bei mir total erfolglos. da sich der trojaner auch vor highjackthis verstecken kann (auch tipps mit umbenennen von highjackthis in hjt.com brachte nichts) war auch hier nicht von erfolg zu sprechen. auch die vundo-removals blieben bei mir ohne erfolg. natülich gebe ich für meine tipps keine garantie oder gewährleistung ;-) die tools sind mit absoluter vorsicht zu verwenden und sollten nur durchgeführt werden wenn man sich auch damit auskennt. ICH BIN AUCH KEIN PROFI! Achtung: da der trojaner anscheinend in unterschiedlichen pfaden zu finden ist sind die unten angegebenen pfade nur als beispiel zu sehen. so, und jetzt los: 1. antivir meldet den fund. den pfad am besten aufschreiben. (bei mir war es z.b.: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7d707.core.dll) jetzt den antivir-guard deaktiviren damit erstmal ruhe ist und bei den bereits geöffneten meldefenstern den punkt auf ignore setzen. 2. das tool combofix laufen lassen. im log von combofix erscheinen nun ganz unten folgende einträge: Scanne versteckte Prozesse... c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe [1448] 0x89FEADA0 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\.274f37b8f1e7d707 Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\274f37b8f1e7d707] "ImagePath"="c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe" --> hier stellt man nun fest, das diese einträge mit dem pfad den wir uns aufgeschrieben haben ähnlich sind. 3.jetzt den pc mit F8 im abgesicherten modus starten und das tool "avenger" starten. hier geben wir nun die 3 versteckten ein (siehe oben im log von combofix): Files to Delete: <---das hier auch! c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe [1448] 0x89FEADA0 c:\windows\system32\.274f37b8f1e7d707 [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\274f37b8f1e7d707] "ImagePath"="c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe" und jetzt auf: Execute klicken! damit sollte er dann eleminiert sein. |
|
20.11.2008, 20:53
| #2 |
| | TR/Vundo.FUL.9.A remove Ich glaube das hat funktioniert!!! Vielen Dank!!! Hatte nämlich genau dasselbe Problem und überall woanders wird das nur mit sonem Fachchinesisch erklärt!!! Also von mir gibs zwei Daumen!!! Muss nur abwarten obs wirklich gefunzt hat, weil ich habe vorher alles nur mit Combofix verucht und ohne avenger und nach ner Zeit kam der Viren alarm wieder!!!
__________________ |
|
20.11.2008, 20:54
| #3 |
| | TR/Vundo.FUL.9.A remove Okay hat anschein doch nicht geklappt hab grad wieder nen Viren alarm bekommen. Verdammter mist!!! Aber trotzdem danke!!!
__________________ |
|
20.11.2008, 21:04
| #4 |
| | TR/Vundo.FUL.9.A remove Ich merke grad laut dem log von avenger das ich was falsch gemacht habe!!! hier mal die log datei: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" Deletion of file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
|
20.11.2008, 21:20
| #5 |
| | TR/Vundo.FUL.9.A remove hmm... lass mal vorher das tool cleanup laufen um alle teporären internet-dateien zu löschen. hast du avenger auch wirklich im abgesicherten modus laufen lassen? evtl auch auch mal auf arbeitsplatz, dann auf "extras", dann auf "ordneroptionen", dann auf "ansicht" und die versteckten ordner und dateien sichtbar machen. |
|
20.11.2008, 21:31
| #6 | |
| | TR/Vundo.FUL.9.A removeZitat:
Einfach die genannte Zeile nochmal mit dem "Folders to Delete:" Befehl killen und kein nerviges Gepiepe mehr. Das ging übrigens auch ohne abgesicherten Modus ganz prima. Zusätzlich hatte ich aber im ersten Durchlauf noch eine dll aus dem Logfile mit "Files to Delete:" entfernt. Viel Glück! Hoffe, dass jetzt alles schön bleibt, nachdem ich den ganzen Nachmittag drauf verschwendet hab...  |
|
20.11.2008, 21:37
| #7 |
| | TR/Vundo.FUL.9.A remove Und dicken Dank an Mitch84 für die Rettung!  |
|
| Themen zu TR/Vundo.FUL.9.A remove |
| .com, abgesicherten modus, anleitung, antivir, antivir meldet, combofix, entfernen, folge, gen, highjackthis, klicke, log, nicht angezeigt, problem, profi, programme, registry, services, starten, system, tipps, tools, tr/vundo.ful.9.a, trojaner, versteckte, virus, virustotal, windows |
Hybrid-Darstellung
