|
TR/Vundo.FUL.9.A remove hallo, ich habe hier eine kleine anleitung erstellt wie man den trojaner TR/Vundo.FUL.9.A vom system entfernen kann. verwendete programme: antivir, combofix und avenger da viele das problem haben das sie ihn nicht angezeigt bekommen (sei es im system32-ordner oder auch in der registry) bringen auch die tipps mit z.b.: virustotal nichts. auch das einstellen der ordner-optionen um alle versteckten elemente sichtbar zu machen war bei mir total erfolglos. da sich der trojaner auch vor highjackthis verstecken kann (auch tipps mit umbenennen von highjackthis in hjt.com brachte nichts) war auch hier nicht von erfolg zu sprechen. auch die vundo-removals blieben bei mir ohne erfolg. natülich gebe ich für meine tipps keine garantie oder gewährleistung ;-) die tools sind mit absoluter vorsicht zu verwenden und sollten nur durchgeführt werden wenn man sich auch damit auskennt. ICH BIN AUCH KEIN PROFI! Achtung: da der trojaner anscheinend in unterschiedlichen pfaden zu finden ist sind die unten angegebenen pfade nur als beispiel zu sehen. so, und jetzt los: 1. antivir meldet den fund. den pfad am besten aufschreiben. (bei mir war es z.b.: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7d707.core.dll) jetzt den antivir-guard deaktiviren damit erstmal ruhe ist und bei den bereits geöffneten meldefenstern den punkt auf ignore setzen. 2. das tool combofix laufen lassen. im log von combofix erscheinen nun ganz unten folgende einträge: Scanne versteckte Prozesse... c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe [1448] 0x89FEADA0 Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\.274f37b8f1e7d707 Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\274f37b8f1e7d707] "ImagePath"="c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe" --> hier stellt man nun fest, das diese einträge mit dem pfad den wir uns aufgeschrieben haben ähnlich sind. 3.jetzt den pc mit F8 im abgesicherten modus starten und das tool "avenger" starten. hier geben wir nun die 3 versteckten ein (siehe oben im log von combofix): Files to Delete: <---das hier auch! c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe [1448] 0x89FEADA0 c:\windows\system32\.274f37b8f1e7d707 [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\274f37b8f1e7d707] "ImagePath"="c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7d707.exe" und jetzt auf: Execute klicken! damit sollte er dann eleminiert sein. |
Ich glaube das hat funktioniert!!! Vielen Dank!!! Hatte nämlich genau dasselbe Problem und überall woanders wird das nur mit sonem Fachchinesisch erklärt!!! Also von mir gibs zwei Daumen!!! Muss nur abwarten obs wirklich gefunzt hat, weil ich habe vorher alles nur mit Combofix verucht und ohne avenger und nach ner Zeit kam der Viren alarm wieder!!! |
Okay hat anschein doch nicht geklappt hab grad wieder nen Viren alarm bekommen. Verdammter mist!!! Aber trotzdem danke!!! |
Ich merke grad laut dem log von avenger das ich was falsch gemacht habe!!! hier mal die log datei: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "4eab3cbb9a018abf" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe Start Type: 2 (Automatic) Rootkit scan completed. Error: file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\dokume~1\rick\LOKALE~1\Temp\tmpDF.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmpD3.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp132.tmp.4eab3cbb9a018abf.tmp 22115 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" not found! Deletion of file "c:\windows\TEMP\tmp140.tmp.4eab3cbb9a018abf.tmp 44544 bytes executable" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: "c:\windows\system32\.4eab3cbb9a018abf" is a folder, not a file! Deletion of file "c:\windows\system32\.4eab3cbb9a018abf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: could not open file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" Deletion of file "[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\4eab3cbb9a018abf]" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" Deletion of file ""ImagePath"="c:\windows\system32\.4eab3cbb9a018abf\4eab3cbb9a018abf.exe"" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. |
hmm... lass mal vorher das tool cleanup laufen um alle teporären internet-dateien zu löschen. hast du avenger auch wirklich im abgesicherten modus laufen lassen? evtl auch auch mal auf arbeitsplatz, dann auf "extras", dann auf "ordneroptionen", dann auf "ansicht" und die versteckten ordner und dateien sichtbar machen. |
Zitat:
Einfach die genannte Zeile nochmal mit dem "Folders to Delete:" Befehl killen und kein nerviges Gepiepe mehr. Das ging übrigens auch ohne abgesicherten Modus ganz prima. Zusätzlich hatte ich aber im ersten Durchlauf noch eine dll aus dem Logfile mit "Files to Delete:" entfernt. Viel Glück! Hoffe, dass jetzt alles schön bleibt, nachdem ich den ganzen Nachmittag drauf verschwendet hab... :alc: |
Und dicken Dank an Mitch84 für die Rettung! :party: |
mir ist selbst noch ein fehler aufgefallen: unten in den avenger darf es nicht heißen: c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe [1448] 0x89FEADA0 sondern: c:\windows\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe das ist wichtig.der teil hinter .exe gehört nicht zur datei, so kann avenger ihn nicht finden. vllt kann ein admin das ja noch ändern. wäre nett. |
Stimmt hat Mitch schon geil geposted!!! Hat nu auch endlich gefunzt!!! |
hallo erstmal, ich habe wie so einige andere hier auch Probleme mit diesem verdammten TR/Vundo.FUL.9.A....ich hab es auch nach dieser Anleitung hier zunächst versucht und das mit Combofix klappt auch noch alles ganz gut,allerdings erzielt Avenger bei mir nich den gewünschten Erfolg....ich stelle mir die Frage ob ich überhaupt den richtigen Avenger habe. Meiner heißt Malware Avenger 1.0 und ist in deutscher Ausführung,allerdings scannt er nur.er findet den Virus,doch lässt der sich damit nicht entfernen da dann immer die Meldung kommt "Removal failed". Ich finde auch in meinem Avenger die Funktionen "Folders to delete" oder "Files to delete" nicht. Wäre nett wenn mir jemand mal sagen könnte wo ich den richtigen Avenger herbekomme falls es der falsche ist oder mir zumindest sagt wie ich mit meinem umzugehen habe,denn ich habe absolut keinen Plan davon und würd diesen dummen Trojaner schon gerne wieder loswerden ohne meinen Rechner komplett neu aufzusetzen^^ Danke schonmal im Vorraus |
Hallo, hier habe ich alles nochmal vereinfacht! denke so sollte es auch klappen, nur etwas leichter und sicherer (ohne combofix) ihr braucht folgende programme: antivir, cleanup (Ccleaner) und avenger. hier kann sie laden: http://filepony.de/download-the_avenger/ ist auch jeweils eine anleitung bei. Achtung: da der trojaner anscheinend in unterschiedlichen pfaden zu finden ist sind die unten angegebenen pfade nur als beispiel zu sehen. so, und jetzt los: 1. antivir meldet den fund. den pfad auf jeden fall aufschreiben. (bei mir war es z.b.: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.core.dll) jetzt den antivir-guard deaktiviren damit erstmal ruhe ist und bei den bereits geöffneten meldefenstern den punkt auf ignore setzen. 2. Cleanup laufen lassen! 3. den pc im abgesicherten modus starten (einschalten und solange F8 drücken bis man es auswählen kann ;-) ) 4. den avenger starten. jetzt schon mal in das geöffnete fenster --> Files to Delete: <--- schreiben. 2 zeilen darunter dann das was ihr euch aufgeschrieben habt (von der meldung von antivir) reinschreiben und JETZT das ".core.dlll" einfach in ".exe" ändern. beispiel: Files to Delete: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7 d707.exe jetzt auf execute klicken und im log nachschauen ob er ihn erfolgreich löschen konnte. 5. die registry bereinigen. (am besten vorher ein backup machen) start-->ausführen--->regedit eingeben--->[HKEY_LOCAL_MACHINE--->system--->ControlSet001--->Services--->XXXXXXXXXXXX<--- diesen ordner rechtsklick und dann löschen. XXXXXXXXX steht für den ordner der so ähnlich heißt wie der fund bei antivir! so, jetzt pc neu starten und mit antivir eine vollständige systemprüfung durchfüren. übernehme natürlich keine garantie oder haftung dafür... |
hammer,danke!!! die noch vereinfachtere anleitung war nach der vorher schon gut erklärten garnich soo nötig aber yeah^^ es war wie ich's vermutete hatte,ich hatte das falsche avenger tool und darum ging es nicht,jetzt kam folgendes: Beginning to process script file: Rootkit scan active. Hidden driver "96eac490fdd11628" found! DisplayName: Microsoft DDE+ server ImagePath: C:\WINDOWS\system32\.96eac490fdd11628\96eac490fdd11628.exe Start Type: 2 (Automatic) Rootkit scan completed. File "c:\windows\system32\.96eac490fdd11628\96eac490fdd11628.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. damit sollte er ja nun gelöscht worden sein,oder?:aplaus: jetzt nur noch das mit der registry und dann dürfte sich das thema erledigt haben,vielen dank mitch:Boogie: |
:daumenhoc Erstmal danke für den Beitrag hier. "TR/Vundo.37888". Das war die Ursache für einen quasi permanenten Warnmeldungsmarathon von Seiten des AntiVir Personal Guard's. Die dabei angebene infizierte Datei war "ddcApmkK.dll" in "C:\windows\system32". Glücklicherweise genügte bei mir ein einfacher Durchlauf von Combofix um die oben genannte Datei zu entfernen. Nochmals danke für die Empfehlung hier. mfg |
@ Mitch84 Vielen vielen Dank für diese hervorragende Beschreibung!!! :) Mit dem Avenger hat es sofort geklappt und im Log stand, dass die Datei erfolgreich gelöscht wurde. Jetzt weiß ich leider nur nicht, wie ich das mit der Registry mache :( Ich war halt auf dem angegebenen Pfad, aber ich habe den Ordner irgendwie nicht gefunden. Wie könnte der Name des Ordners ungefähr lauten oder ist es überhaupt wichtig, die Registry zu bereinigen? |
hallo, versuch es mal mit einem regcleaner. hier ein link mit beschreibung: http://www.chip.de/downloads/RegCleaner-4.3.0.780_12991462.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board