Trojaner-Board - TR/Vundo.Ful.9 und .10

Hi,

habe mir vor zwei Wochen o.g. Viren eingefangen und lange gebraucht um sie wieder los zu werden. Hier nun meine Vorgehensweise ohne garantie, dass sie auch bei Euch funktioniert.

Zu aller erst benötigt ihr folgende Programme:

Avira AntiVir PE
RegCleaner (oder CCleaner)
ComboFix
Avenger

Bei mir hat sich AntiVir gemeldet als sich der Flashplayer aktualisiert hatte, vermutlich habe ich mir die Dinger über eine Flash-Animation eingefangen, aber das nur am Rande.

Smptome des Befalls waren:
- Arbeitzsplatz zeigte keine Laufwerke
- Der Prozess svchost.exe war 5x geladen (hat man 4 abgeschaltet ging Einiges wieder etwas besser)
- Programme ließen sich nicht starten (darunter auch antimalware Tools etc.)
- Der Rechner war im allg. sehr langsam
- Mit den o.g. Trojanern kam auch noch TR/Drop.Small.abw

Nun zur Beseitigung:

Als erstes last AntiVir los und scant das gesammte System. AntiVir wird daraufhin einen report anlegen den wir später nochmal brauchen werden.

Nun müsst Ihr in den Abgesicherten Modus wechseln.

Schaut nun in den Report von AntiVir. Dort stehen Pfade der Verseuchten Datein. Die meisten Datein kann man gefahrlos löschen, wenn Ihr euch nicht sicher seit, dann schuat im Netz nach ob ihr Sie löschen könnt. Bei mir waren keine wichtigen Datein befallen.

Löscht nun alle Datein die im Report unter Befallen stehen.

Es wird Ordner geben die versteckt sind also die Ordneranzeige ändern.

Unter Windows/Sytsem32/ war bei mir ein Ordner verseckt mit der Bezeichnung .7e5b94f4917cecc1, den man nicht löschen konnte.

Wenn man den Namen [ohne Punkt am anfang] in der Regestry sucht wird man sehr schnell fündig. Das heist in den meisten Fällen, dass die Viren aktiv in den Systemablauf eingebunden sind.

Nun startet ComboFix. Das Tool sucht nach fehlerhaften Prozessen und schaut sich deren Datein an um dann eine Log-Datei auszuspucken in der alle ergebnisse stehen.

Die Angaben am Ende der Log-Datei von ComboFix müsst ihr nun gleich kopieren also nicht das Log schließen.

Zitat:

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-21 18:40:31
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

c:\windows\system32\.7e5b94f4917cecc1\7e5b94f4917cecc1.exe [548] 0x8A4076E8

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\system32\.7e5b94f4917cecc1

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\7e5b94f4917cecc1]
"ImagePath"="c:\windows\system32\.7e5b94f4917cecc1\7e5b94f4917cecc1.exe"

Startet nun Avenger. Avenger ist ein Tool mit dem so ziemlich alles vom rechner Entfernen kann.

Sobald Avenger gestartet ist müsst Ihr ein Script dort eintragen.

Bei mir reichte es mit:

Zitat:

Files to delete:
C:\WINDOWS\system32\.7e5b94f4917cecc1\7e5b94f4917cecc1.exe
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Root\Legacy_7e5b94f4917cecc1]
"ImagePath"="C:\WINDOWS\system32\.7e5b94f4917cecc1\7e5b94f4917cecc1.exe"

Wobei die Pfade mit euren Angaben aus Combofix ausgetauscht werden müssen.

Danach lasst Avenger neu starten. Wenn der Rechner wieder hochgefahren ist wird sich Avenger wieder melden mit dem ergebnis. Bei mir konnte es zwar die Datein aber nicht die Registry einträge löschen.

Dafür nehmt nun anschließend RegEdit oder CCleaner.

Nun sollte der Spuk ein Ende haben.

Zur sicherheit habe ich nochmal den Virenscanner neu installiert ebenso wie den Browser.

Eines weiß ich nur noch nicht. Was machen diese Viren eigentlich auf meinem Rechner? Wenn das mal jemand genau weiß wäre es super wenn er es hier posten würde.

Beste Grüße

Goreka