Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.FUL.9.A remove

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.11.2008, 17:36   #1
Mitch84
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



hallo,

ich habe hier eine kleine anleitung erstellt wie man den trojaner TR/Vundo.FUL.9.A vom system entfernen kann.
verwendete programme: antivir, combofix und avenger

da viele das problem haben das sie ihn nicht angezeigt bekommen (sei es im system32-ordner oder auch in der registry) bringen auch die tipps mit z.b.: virustotal nichts. auch das einstellen der ordner-optionen um alle versteckten elemente sichtbar zu machen war bei mir total erfolglos.
da sich der trojaner auch vor highjackthis verstecken kann (auch tipps mit umbenennen von highjackthis in hjt.com brachte nichts) war auch hier nicht von erfolg zu sprechen.
auch die vundo-removals blieben bei mir ohne erfolg.

natülich gebe ich für meine tipps keine garantie oder gewährleistung ;-)
die tools sind mit absoluter vorsicht zu verwenden und sollten nur durchgeführt werden wenn man sich auch damit auskennt.
ICH BIN AUCH KEIN PROFI!

Achtung: da der trojaner anscheinend in unterschiedlichen pfaden zu finden ist sind die unten angegebenen pfade nur als beispiel zu sehen.

so, und jetzt los:

1. antivir meldet den fund.
den pfad am besten aufschreiben.
(bei mir war es z.b.: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7d707.core.dll)
jetzt den antivir-guard deaktiviren damit erstmal ruhe ist und bei den bereits geöffneten meldefenstern den punkt auf ignore setzen.

2. das tool combofix laufen lassen.
im log von combofix erscheinen nun ganz unten folgende einträge:

Scanne versteckte Prozesse...

c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe [1448] 0x89FEADA0

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\.274f37b8f1e7d707

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\274f37b8f1e7d707]
"ImagePath"="c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe"

--> hier stellt man nun fest, das diese einträge mit dem pfad den wir uns aufgeschrieben haben ähnlich sind.


3.jetzt den pc mit F8 im abgesicherten modus starten und das tool "avenger" starten.

hier geben wir nun die 3 versteckten ein (siehe oben im log von combofix):

Files to Delete: <---das hier auch!

c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe [1448] 0x89FEADA0
c:\windows\system32\.274f37b8f1e7d707
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\274f37b8f1e7d707]
"ImagePath"="c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe"


und jetzt auf: Execute klicken!


damit sollte er dann eleminiert sein.

Alt 20.11.2008, 20:53   #2
dooley
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Ich glaube das hat funktioniert!!! Vielen Dank!!! Hatte nämlich genau dasselbe Problem und überall woanders wird das nur mit sonem Fachchinesisch erklärt!!! Also von mir gibs zwei Daumen!!! Muss nur abwarten obs wirklich gefunzt hat, weil ich habe vorher alles nur mit Combofix verucht und ohne avenger und nach ner Zeit kam der Viren alarm wieder!!!
__________________


Alt 20.11.2008, 20:54   #3
dooley
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Okay hat anschein doch nicht geklappt hab grad wieder nen Viren alarm bekommen. Verdammter mist!!! Aber trotzdem danke!!!
__________________

Alt 20.11.2008, 21:04   #4
dooley
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Ich merke grad laut dem log von avenger das ich was falsch gemacht habe!!! hier mal die log datei:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "4eab3cbb9a018abf" found!
DisplayName: Microsoft DDE+ server
ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe
Start Type: 2 (Automatic)

Rootkit scan completed.


Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found!
Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found!
Deletion of file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found!
Deletion of file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" not found!
Deletion of file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file!
Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]"
Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe""
Deletion of file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

Alt 20.11.2008, 21:20   #5
Mitch84
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



hmm...
lass mal vorher das tool cleanup laufen um alle teporären internet-dateien zu löschen.
hast du avenger auch wirklich im abgesicherten modus laufen lassen?
evtl auch auch mal auf arbeitsplatz, dann auf "extras", dann auf "ordneroptionen", dann auf "ansicht" und die versteckten ordner und dateien sichtbar machen.


Alt 20.11.2008, 21:31   #6
BerndBabylon
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Zitat:
Zitat von dooley Beitrag anzeigen
Ich merke grad laut dem log von avenger das ich was falsch gemacht habe!!! hier mal die log datei:

...schnipp...

Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file!
Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

...schnipp...

Finished! Terminate.
Da war bei mir des Rätsels Lösung.
Einfach die genannte Zeile nochmal mit dem "Folders to Delete:" Befehl killen und kein nerviges Gepiepe mehr. Das ging übrigens auch ohne abgesicherten Modus ganz prima.
Zusätzlich hatte ich aber im ersten Durchlauf noch eine dll aus dem Logfile mit "Files to Delete:" entfernt.
Viel Glück!
Hoffe, dass jetzt alles schön bleibt, nachdem ich den ganzen Nachmittag drauf verschwendet hab...

Alt 20.11.2008, 21:37   #7
BerndBabylon
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Und dicken Dank an Mitch84 für die Rettung!

Alt 20.11.2008, 21:47   #8
Mitch84
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



mir ist selbst noch ein fehler aufgefallen:

unten in den avenger darf es nicht heißen:
c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe [1448] 0x89FEADA0

sondern:
c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe

das ist wichtig.der teil hinter .exe gehört nicht zur datei, so kann avenger ihn nicht finden.

vllt kann ein admin das ja noch ändern. wäre nett.

Alt 20.11.2008, 22:16   #9
dooley
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Stimmt hat Mitch schon geil geposted!!! Hat nu auch endlich gefunzt!!!

Alt 22.11.2008, 02:01   #10
Karamelo
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



hallo erstmal,

ich habe wie so einige andere hier auch Probleme mit diesem verdammten TR/Vundo.FUL.9.A....ich hab es auch nach dieser Anleitung hier zunächst versucht und das mit Combofix klappt auch noch alles ganz gut,allerdings erzielt Avenger bei mir nich den gewünschten Erfolg....ich stelle mir die Frage ob ich überhaupt den richtigen Avenger habe. Meiner heißt Malware Avenger 1.0 und ist in deutscher Ausführung,allerdings scannt er nur.er findet den Virus,doch lässt der sich damit nicht entfernen da dann immer die Meldung kommt "Removal failed". Ich finde auch in meinem Avenger die Funktionen "Folders to delete" oder
"Files to delete" nicht. Wäre nett wenn mir jemand mal sagen könnte wo ich den richtigen Avenger herbekomme falls es der falsche ist oder mir zumindest sagt wie ich mit meinem umzugehen habe,denn ich habe absolut keinen Plan davon und würd diesen dummen Trojaner schon gerne wieder loswerden ohne meinen Rechner komplett neu aufzusetzen^^

Danke schonmal im Vorraus

Alt 22.11.2008, 12:09   #11
Mitch84
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



Hallo,

hier habe ich alles nochmal vereinfacht!
denke so sollte es auch klappen, nur etwas leichter und sicherer (ohne combofix)

ihr braucht folgende programme: antivir, cleanup (Ccleaner) und avenger.

hier kann sie laden: http://filepony.de/download-the_avenger/

ist auch jeweils eine anleitung bei.



Achtung: da der trojaner anscheinend in unterschiedlichen pfaden zu finden ist sind die unten angegebenen pfade nur als beispiel zu sehen.

so, und jetzt los:

1. antivir meldet den fund.
den pfad auf jeden fall aufschreiben.
(bei mir war es z.b.: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.core.dll)
jetzt den antivir-guard deaktiviren damit erstmal ruhe ist und bei den bereits geöffneten meldefenstern den punkt auf ignore setzen.


2. Cleanup laufen lassen!



3. den pc im abgesicherten modus starten (einschalten und solange F8 drücken bis man es auswählen kann ;-) )




4. den avenger starten.

jetzt schon mal in das geöffnete fenster --> Files to Delete: <--- schreiben.
2 zeilen darunter dann das was ihr euch aufgeschrieben habt (von der meldung von antivir) reinschreiben und JETZT das ".core.dlll" einfach in ".exe" ändern.

beispiel:

Files to Delete:

C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe



jetzt auf execute klicken und im log nachschauen ob er ihn erfolgreich löschen konnte.





5. die registry bereinigen. (am besten vorher ein backup machen)

start-->ausführen--->regedit eingeben--->[HKEY_LOCAL_MACHINE--->system--->ControlSet001--->Services--->XXXXXXXXXXXX<--- diesen ordner rechtsklick und dann löschen.


XXXXXXXXX steht für den ordner der so ähnlich heißt wie der fund bei antivir!


so, jetzt pc neu starten und mit antivir eine vollständige systemprüfung durchfüren.


übernehme natürlich keine garantie oder haftung dafür...

Alt 22.11.2008, 13:52   #12
Karamelo
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



hammer,danke!!! die noch vereinfachtere anleitung war nach der vorher schon gut erklärten garnich soo nötig aber yeah^^ es war wie ich's vermutete hatte,ich hatte das falsche avenger tool und darum ging es nicht,jetzt kam folgendes:

Beginning to process script file:

Rootkit scan active.

Hidden driver "96eac490fdd11628" found!
DisplayName: Microsoft DDE+ server
ImagePath: C:\WINDOWS\system32\.96eac490fdd11628\96eac490fdd11628.exe
Start Type: 2 (Automatic)

Rootkit scan completed.

File "c:\windows\system32\.96eac490fdd11628\96eac490fdd11628.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

damit sollte er ja nun gelöscht worden sein,oder?:aplaus:

jetzt nur noch das mit der registry und dann dürfte sich das thema erledigt haben,vielen dank mitch

Alt 22.11.2008, 23:22   #13
LordScan
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove





Erstmal danke für den Beitrag hier. "TR/Vundo.37888". Das war die Ursache für einen quasi permanenten Warnmeldungsmarathon von Seiten des AntiVir Personal Guard's. Die dabei angebene infizierte Datei war "ddcApmkK.dll" in "C:\windows\system32".

Glücklicherweise genügte bei mir ein einfacher Durchlauf von Combofix um die oben genannte Datei zu entfernen.


Nochmals danke für die Empfehlung hier.


mfg

Alt 23.11.2008, 12:02   #14
OJ Mayo
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



@ Mitch84 Vielen vielen Dank für diese hervorragende Beschreibung!!!
Mit dem Avenger hat es sofort geklappt und im Log stand, dass die Datei erfolgreich gelöscht wurde.

Jetzt weiß ich leider nur nicht, wie ich das mit der Registry mache
Ich war halt auf dem angegebenen Pfad, aber ich habe den Ordner irgendwie nicht gefunden.
Wie könnte der Name des Ordners ungefähr lauten oder ist es überhaupt wichtig, die Registry zu bereinigen?

Alt 24.11.2008, 09:17   #15
Mitch84
 
TR/Vundo.FUL.9.A remove - Standard

TR/Vundo.FUL.9.A remove



hallo,
versuch es mal mit einem regcleaner.

hier ein link mit beschreibung:

http://www.chip.de/downloads/RegCleaner-4.3.0.780_12991462.html

Antwort

Themen zu TR/Vundo.FUL.9.A remove
.com, abgesicherten modus, anleitung, antivir, antivir meldet, combofix, entfernen, folge, gen, highjackthis, klicke, log, nicht angezeigt, problem, profi, programme, registry, services, starten, system, tipps, tools, tr/vundo.ful.9.a, trojaner, versteckte, virus, virustotal, windows



Ähnliche Themen: TR/Vundo.FUL.9.A remove


  1. remove executive boot
    Alles rund um Windows - 02.11.2012 (1)
  2. Remove Fake Antivirus
    Diskussionsforum - 13.05.2012 (5)
  3. programme weg ,nach ms recovery remove
    Log-Analyse und Auswertung - 26.04.2011 (2)
  4. probleme nach remove von TR/Dldr.ibill.bf
    Log-Analyse und Auswertung - 06.11.2008 (2)
  5. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  6. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  7. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  8. remove virus
    Mülltonne - 10.04.2008 (0)
  9. How to remove WORM/IrcBot.49664.2 ?
    Plagegeister aller Art und deren Bekämpfung - 25.11.2007 (1)
  10. Remove Toolbar und deren Äste
    Plagegeister aller Art und deren Bekämpfung - 24.07.2006 (5)
  11. SPR/REG.Zapchast und WORM/Rbot.148992.11 -- REMOVE mit HiJackThis??
    Log-Analyse und Auswertung - 15.06.2006 (2)
  12. Problem: Remove Toolbar in der Taskleiste
    Log-Analyse und Auswertung - 11.06.2006 (9)
  13. Remove Tracks auf Desktop
    Plagegeister aller Art und deren Bekämpfung - 09.03.2006 (3)
  14. spyware detected... download to remove
    Log-Analyse und Auswertung - 23.12.2005 (1)
  15. Remove Toolbar
    Log-Analyse und Auswertung - 26.10.2005 (11)
  16. Remove all Spyware from your PC!
    Log-Analyse und Auswertung - 13.04.2005 (4)
  17. Remove Tool für Dyfuca.DB???
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (1)

Zum Thema TR/Vundo.FUL.9.A remove - hallo, ich habe hier eine kleine anleitung erstellt wie man den trojaner TR/Vundo.FUL.9.A vom system entfernen kann. verwendete programme: antivir, combofix und avenger da viele das problem haben das sie - TR/Vundo.FUL.9.A remove...
Archiv
Du betrachtest: TR/Vundo.FUL.9.A remove auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.