| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.FUL.9.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.11.2008, 23:01
| #16 |
 |  TR/Vundo.FUL.9.A ok, sieht eigentlich gut aus. geh mal auf start-->ausführen--->regedit eingeben--->[HKEY_LOCAL_MACHINE--->system--->ControlSet001--->Services--->4 eab3cbb9a018abf] <--- diesen ordner rechtsklick und dann löschen. |
|
20.11.2008, 23:06
| #17 |
| | TR/Vundo.FUL.9.A Okay wech isses antivir sagt nix hab hier aber noch mal eine weitere Log datei, nach dem wo überall failed stand.
__________________Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. File "c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe" deleted successfully. File "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp" deleted successfully. Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe"" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4 eab3cbb9a018abf]"ImagePath"="c:\windows\system32\.4eab3cbb9a018abf \4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. So kann erstmal damit so leben ansonsten melde ich mich nochmal bei dir. Vielen dank auf jedenfall, das du dir so viel zeit genommen hast usw. hoffe mal der Trojaner is wech. Datei gelöscht wie du gesagt hast. Und nur nochmal zur info diese Log datei ist entstanden bevor ich manuell den Ordner gelöscht habe. Mfg Dooley |
|
20.11.2008, 23:10
| #18 |
| | TR/Vundo.FUL.9.A sieht auf jeden fall gut aus!
__________________wenn du den ordner gelöscht hast denk ich mal wirst du jetzt alles weg haben... wenn nich meld dich einfach. ich schau hier morgen dann nochmal rein gn8 |
|
21.11.2008, 10:55
| #19 |
| | TR/Vundo.FUL.9.A Sollte eigentlich weg sein, anitvir meldet sich nicht mehr mal abwarten was passiert. Habe aber jetzt anderes Prob wenn ich den autostart von den laufwerken aktivieren will muss ich ja ausführen und regedit eingeben aber das funktioniert nicht mehr dann zeigt er eine Fehler meldung mit regedit.exe - Fehler in Anwendung. Hab ich da durch Combofix und Avenger irgendwas in der registry verändert??? Kan ich das rückgängig machen??? Mfg Rick Geändert von dooley (21.11.2008 um 11:03 Uhr) |
|
21.11.2008, 21:23
| #20 |
| | TR/Vundo.FUL.9.A hi!ich fing mir den trojaner vor drei tagen ein. ich hab auch so ziemlich alles probiert, was ich hier im forum gefunden hab. nichts hat geholfen. heute hab ich dann mal knoppicillin bemüht. nach drei stunden hat sich das (durchaus gelungene) programm dann verabschiedet und ich stand wieder am anfang. dann hab ichs auch mal mit combofix und avenger probiert. kurz vorab: ich hatte und habe immer noch keinen dunst von den zwei diensten! jedoch konnte ich scheinbar den trojaner entfernen. jedenfalls zeigt mir der antivir keine meldung mehr!!!! zur lösung meines problems haben mir genau die erste threads hier viel geholfen. ich hab eig. alles nur kopiert (ich mein die verfahrensweise) und bin, wie gesagt, vermutlich "geheilt". nu hab ich aber ein problem. dieses sieht so aus: (ich poste nur mal den auszug aus der combofix log) catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-21 18:30:43 Windows 5.1.2600 Service Pack 2 FAT NTAPI detected NTDLL code modification: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation Scanne versteckte Prozesse... c:\windows\SYSTEM32\.8981E3FA3D9BACF8\8981E3FA3D9BACF8.EXE [460] 0x89EF3790 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\.8981e3fa3d9bacf8 Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\8981e3fa3d9bacf8] "ImagePath"="c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.exe" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: c:\windows\Explorer.exe -> c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.core.dll -> ?:\windows\system32\SETUPAPI.dll -> ?:\windows\system32\SETUPAPI.dll . Zeit der Fertigstellung: 2008-11-21 18:31:30 ComboFix-quarantined-files.txt 2008-11-21 17:31:22 also die folder "c:\windows\system32\.8981e3fa3d9bacf8" konnte ich erfolgreich löschen. seitdem bestehen die 16 fehlermeldungen von antivir nicht mehr. (schön!!) mich stören eig. mehr die zwei letzten .dll dateien. genau die hier: -> ?:\windows\system32\SETUPAPI.dll -> ?:\windows\system32\SETUPAPI.dll . der punkt am ende gehört scheinbar dazu. ich frag mich, was das FRAGEZEICHEN, anstelle des laufwerkbuchstabens zu bedeuten hat. nachdem der pfad ja system32 ist, geh ich mal von c: aus, aber so ganz sicher bin ich mir da nicht. falls mir hierzu noch jmd. hilfestellung geben kann, wäre ich sehr dankbar. wenn nicht, bedanke ich mich für den beitrag und die verfasser! ich bin echt fast verzweifelt. ohne das forum wär ich wohl um ne neuinstall nicht herum gekommen. [[p.s. den registri eintrag [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\8981e3fa3d9bacf8] "ImagePath"="c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.exe" . konnt ich auch nicht erfolgreich löschen. dennoch läuft mein pc fehlerfrei! lediglich der eintrag: c:\windows\system32\.8981e3fa3d9bacf8\8981e3fa3d9bacf8.core.dll wurde vom avenger erfolgreich entfernt und seitdem läuft, wie gesagt, alles wieder normal.]] liebe grüße und dank, targin1 |
|
21.11.2008, 21:58
| #21 |
| | TR/Vundo.FUL.9.A hallo leute hab das selbe problem mit TR/Vundo.FUL.9.A nur startet combofix bei mir nicht sagt immer: Läuft nur unter WIN2000 und XP (hab aber WIN2000) Hat noch einer ein anderes tool oder weiß jemand warum combofix nicht startet ? grüße colle |
|
28.11.2008, 11:02
| #22 |
| | TR/Vundo.FUL.9.A Mein Problem mit dem Trojaner ist nun auch behoben habe schon lange keine Fehlermeldungen mehr bekommen. Ich kann mitchs eintrag zur entfernung von vundos nur empfehlen!!! Man muss zwar ein bissel sich reinfuchsen in die programme aber dann klappte es auch irgendwann. Also thx an Mitch und an das Forum, es erleichtert extrem den Kampf gegen Viren und diejenigen die solche in Umlauf bringen. |
|
| Themen zu TR/Vundo.FUL.9.A |
| 0xc0000034, antivir, assembly, autorun, browser, c:\windows\system32\rundll32.exe, combofix, desktop, einstellungen, explorer, failed, festplatte, festplatte formatieren, helfen, immer wieder, installation, kommt immer wieder, laufende prozesse, log, malware, mozilla, object, programme, rthdcpl.exe, rundll, server, shell32.dll, sierra, software, spyware, suchlauf, system, temp, usb, windows, windows xp, windows\temp, wireless lan, wlan, wscript.exe |
Linear-Darstellung
