Wie entfernt man den Trojan Vundo
Aliase: Trojan.Vundo.B, Trojan Vundo/Adware Virtumondo (TR/Vundo.Gen)
mehrere Lösungswege werden angeboten. Aktuell verwenden wir die Methode 6:
Update zum VundoFix
SuperMWindow - Ein neuer Vundo
geschrieben von Atribune
22. September, 2007 um 11:57 AM
Ich bekam letzte Woche eine eMail von jemandem, der eine besonders unangenehme Vundo Infektion auf dem System hatte. Ich hab mir sein System angeschaut, einige Malware Exemplare entnommen und herausgefunden, dass sie sich nicht in der winlogon.exe verfingen, wie die normalen Vundo's, die wir meistens zu sehen bekommen, sie verfingen sich in der lsass.exe.
Es gelang mir, diese Infektion vom System des Users zu entfernen und ihn geheilt ins Netz zu entlassen.
Seitdem hatte ich Zeit diese neue Variante zu testen und herauszufinden, wie sie sich entwickelte und habe nun eine Entfernungsmethode dafür dem VundoFix hinzugefügt.
Während ich getestet habe, bemerkte ich, dass ich, wenn ich versuchte, den Rechner neu aufzustarten, Error Meldungen bekam, dass SuperMWindow nicht geschlossen werden konnte. Ich scannte die vundo dll und fand heraus, das diese Meldungen tatsächlich vom Vundo verursacht wurden. Nach einer Suche bei Google, kam ich zu der Schlussfolgerung, dass einige User dieses SuperMWindow sahen, aber niemand wusste, was es war oder wie man es entfernen sollte. Das Vundofix nimmt sich dieser Sache an.
Das Vundofix und seine Bedienungsanleitung finden sich hier: http://vundofix.atribune.org
Alles Gute und Sicheres Surfen, Atri
Letztes Update (22. Sep. 2007 um 12:08 PM)(frei ins Deutsche übersetzt von Ruby)Weitere neue Vundo Varianten!
geschrieben von Atribune
Mittwoch, 16. August 2006
Hier die Anweisung für das VundoFix in der Version 6.4.1:Also, ich habe einige dll's getestet und die Anpassungen, die ich für die Vundofix.exe gemacht hatte und plötzlich sind da diese exe Dateien aufgetaucht, mit Namen, die 8 Random Zeichen lang sind.
Nachdem ich einige Analysen getätigt habe, fand ich heraus, dass es die Winanti und Sysprotect Seiten, sowie auch andere Webseiten den Trusted Zones des Internet Explores hinzufügt.
Vundofix 6 ist geupdatet und hochgeladen worden, um diese exe Dateien und die hinzugefügten Einträge in den Trusted Zones des Internet Explores zu entfernen.
Hinweis: es kann sein, dass das VundoFix die eine oder andere Datei aufzählt, die es nicht entfernen konnte.
- Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.
- Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
- Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
- Wenn es gescannt hat, klicke auf den Remove Vundo Button.
- Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
- Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
- Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.
- Im Forum: bitte poste den Inhalt des C:\vundofix.txt.
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab
- Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
Many Thanks to Atribune
Übersetzung der englischen Anleitung von Atribune ins Deutsche für die User von HijackThis.de von Ruby
