Trojaner.Vundo
 

Hallo ich habe ein Problem vieleicht kann mir jemand helfen!

beim virenscan zeigt Norton eine infizierte Datei die er gefunden hat, kann sie aber nicht löschen.

der Virenname ist: Trojan.Vundo

der Pfad C:\WINDOWS\System32\ljhhi.dll

hab auch versucht sie manuell im abgesicherten Modus zu löschen, dass geht aber auch nicht weil die Datei angeblich von einem Programm dann grade verwendet wird.

kann mir da jemand weiterhelfen???
Danke

Um die erzeugten Registry Werte wieder zu löschen sind folgende Schritte durchzuführen:

1.) Start > Ausführen

2.) Eingeben des Befehls regedit und bestätigen mit OK

3.) Folgende Werte in den Keys löschen:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

4.) Editor verlassen und Windows neu starten.

wo finde ich den WinLogon key ?
in welchem der Ordner such ich da??
danke schon mal!!

Hier mal die komplette Beschreibung:

Trojan.Vundo

Virusbeschreibung für: Trojan.Vundo

Infektions Länge: Variiert

Type: Trojanisches Pferd

Erstes auftreten: 20.11.2004

Auch bekannt als: Vundo [McAfee], Vundo.dldr [McAfee]

Betroffene Systeme: Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

Betroffene Ports:

Kurzbeschreibung: Trojan.Vundo ist ein Komponent eines Adware Programmes welches Pop-Up Werbung herunterladet und anzeigt. Es kann auch beim Besuch einer Internet Seite aus einer SPAM Mail installiert werden.

Trojan.Vundo führt folgende Operationen durch:

• Änderung der Registry:

o Löscht den Wert:

“*MS Setup“

von dem Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt den folgenden Wert:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt den folgenden Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

o Erzeugt folgenden Wert:

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt folgenden Wert:

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

o Erzeugt die folgenden Registry Keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

• Erzeugt eine EXE Datei dessen Name sich aus den folgenden Zeichenketten auseinandersetzen:

abr
av
anti
ac
acc
ad
ap
as
bin
bas
bak
cab
cat
cmd
com
cr
c
drv
db
disk
dll
dns
dos
doc
dvd
eula
exp
fax
font
ftp
hard
iis
img
inet
info
ip
java
kb
key
lib
log
main
ms
mc
mfc
mp3
msvc
nut
odbc
ole
pc
ps
play
ras
reg
run
sys
srv
svr
svc
s
tapi
tcp
task
un
url
util
vb
vga
vss
xml
wave
web
w
win
wms

Nun wird die eben erzeugte Datei in einen der folgenden Ordner gespeichert:

o %Windir%\addins\
o %Windir%\AppPatch\
o %Windir%\assembly\
o %Windir%\Config\
o %Windir%\Cursors\
o %Windir%\Driver Cache\
o %Windir%\Drivers\
o %Windir%\Fonts\
o %Windir%\Help\
o %Windir%\inf\
o %Windir%\java\
o %Windir%\Microsoft.NET\
o %Windir%\msagent\
o %Windir%\Registration\
o %Windir%\repair\
o %Windir%\security\
o %Windir%\ServicePackFiles\
o %Windir%\Speech\
o %Windir%\system\
o %Windir%\system32\
o %Windir%\Tasks\
o %Windir%\Web\
o %Windir%\Windows Update Setup Files\
o %Windir%\Microsoft\


• Versucht eine Datei von der IP Adresse 62.4.84.41 herunter zuladen und auszuführen.

Diese Datei ist ein Adware Modul mit einer eingebetteten DLL Komponente

• Speichert die eingebettete DLL als %Temp%[reversed Trojan file name].dat

• Speist die eingebettete DLL in den Adress Raum einiger gerade laufenden Prozesse, und jeder Prozess Ausgeführt nachdem der Threat angefangen hat zu laufen.

• Erzeugt die folgenden temporären Dateien, welche nicht bösartig sind.

o [reversed Trojan file name].bak1
o [reversed Trojan file name].bak2
o [reversed Trojan file name].ini

• Zeigt Werbung auf dem infizierten Computer an.

• Startet die Adware Komponente neu, sobald der Trojaner erkennt, dass die Adware Komponente gestoppt hat.

• Nachdem ein Neustart erfolgt ist, startet der Trojaner mit einem „rerun“ Parameter. Sobald dies der Fall ist wird folgender Wert hinzugefügt:

"*[Trojan file name]" = "[Trojan full path file name]"
in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Vermindert die Performance des Computers, in dem Vundo den Wert für den verfügbaren Virtuellen Speicher vermindert.
Vundo erreicht dies, indem er einen Bug im Microsoft Internet Explorer ausnutzt (BUG ID 11515)



Technische Beschreibung:

Trojan.Vundo besteht aus vier Teilen.
Der erste Teil besteht aus einem HTML Code welcher einen Bug im Microsoft Internet Explorer ausnützt. (BUG ID 11515)
Der zweite Teil ist ein Dowloader Komponent.
Der dritte Teil ist die eigentliche Adware.
Der vierte Teil ist ein DLL Modul welches die Adware installiert.

Um mehr Informationen zu dem Betreffenden Bug im Microsoft Internet Explorer zu finden, sei auf folgenden Link verwiesen: http://www.securityfocus.com/bid/11515

Manuelle Entfernung:

Um die erzeugten Registry Werte wieder zu löschen sind folgende Schritte durchzuführen:

1.) Start > Ausführen

2.) Eingeben des Befehls regedit und bestätigen mit OK

3.) Folgende Werte in den Keys löschen:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

4.) Editor verlassen und Windows neu starten.

Hallo,
also das ist dann doch sehr kompliziert verfaßt, wenn der TE dem englischen einigermaßen mächtig ist sollte er mit dieser Anleitung weiter kommen. Wenn du aber trotzdem noch fragen zur Anleitung hast kannst du sie stellen, besonders wenn dir nicht ganz klar ist welcher O2 und welcher O20 Eintrag bei HijackThis gemeint sind.


Grüße Wildone

Ich habe auch ein Problem mit der Entfernung eines Trojan.Vundo
Allerdings verstehe ich die hier gegebene Anleitung nicht, und die englische Seite kann ich nicht abrufen.
Wenn mir jemand eine Kurzbeschreibung geben könnte wäre das super :)