hi,

habe seit gestern ein fieses problem mit dem vundo trojaner. gestern meldete mir antivir den befall desselben und zwar sei die datei c:\windows\system32\zlvhym.dll betroffen.

die symptome des befalls sind extrem verlangsamter aufbau von fenstern, deren inhalt, sowie den task-slots der taskleiste. außerdem ständige spam-popups, wenn firefox gestartet wird.

habe mich dann sofort per google informiert, wie man das ding losbekommt und bin auf einige informationen gestoßen, die mir aber nur wenig gebracht haben:

1. Symantec FixVundo.exe: alle netzwerk und internetverbindungen getrennt, alle laufenden programme beendet, fix laufen lassen, hat ein paar infizierte dateien gefunden und eliminiert, dann neustart, nochmal laufen lassen, nichts mehr gefunden. aber: antivir gestartet, gleich wieder den vundo gefunden. also nichts gelöscht.

2. VUndoFix.exe: hat gar keine infizierten dateien gefunden, obwohl der vundo immernoch aktiv ist.

3. gelesen, dass er sich in java-runtimes einschleicht, also sun java deinstalliert, Symantec FixVundo.exe laufen lassen, nichts gefunden, vundo aber immernoch da.

bin wirklich ratlos. kenne mich mit alldem nicht wirklich aus, ist auch mein erster virenbefall. das board ist jetzt meine letzte hoffnung, sonst werde ich wohl doch in den sauren apfel beißen und das system neu installieren müssen, worauf ich nicht sooo scharf bin.

vielen dank im voraus!

Hallo VundoOpfer,

Bitte arbeite folgende Anleitung ab:

Ausschnitt:

Zitat:

a) Anleitung -> CCleaner


b) Anleitung -> Malwarebytes-Anti-Malware
(Wenn das Programm schon ausgeführt wurde, bitte den Report kopieren und uns zeigen, steht alles in der Anleitung!)

c) Anleitung -> Anleitung: HijackThis


d) Liste installierter Software ->

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis

Grüße
a5cl3p1o5

hier ist der erste ani-malware report. jetzt ist erstmal ein neustart fällig, um den rest vom vundo zu entfernen (hoffentlich).



Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1825
Windows 5.1.2600 Service Pack 3

07.03.2009 20:49:52
mbam-log-2009-03-07 (20-49-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 263303
Laufzeit: 45 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 6
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\luravufa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pogogiso.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\hajigira.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yejewusi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\puneromi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zlvhym.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a33442a7-5fc9-4a29-b220-d960937ae7b6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a33442a7-5fc9-4a29-b220-d960937ae7b6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9947374d-0ed2-4a1d-b968-4014ec492a99} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9947374d-0ed2-4a1d-b968-4014ec492a99} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9947374d-0ed2-4a1d-b968-4014ec492a99} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a33442a7-5fc9-4a29-b220-d960937ae7b6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c8c72b72 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bebavukafo (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmcbf418ee (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\pogogiso.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pogogiso.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\pogogiso.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\hajigira.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\hajigira.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\zlvhym.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\luravufa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\afuvarul.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yejewusi.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\hajigira.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\puneromi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pogogiso.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\sosafimi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

nach dem Neustart bitte das hier ausführen:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

soll ich jetzt anstatt a5cl3p1o5's step c) lieber die combofix anwendung in angriff nehmen?

Du sollst alles machen. Zuerst ist ComboFix allerdings am Besten, damit du die Plagegeister los wirst.

ciao, andreas

Hallo VundoOpfer,

wir warten auf die Logfiles ...

Grüße
a5cl3p1o5