VundoFix TR/Vundo Remover

[Ruby]

Wie entfernt man den Trojan Vundo
Aliase: Trojan.Vundo.B, Trojan Vundo/Adware Virtumondo (TR/Vundo.Gen)

mehrere Lösungswege werden angeboten. Aktuell verwenden wir die Methode 6:

Update zum VundoFix


SuperMWindow - Ein neuer Vundo
geschrieben von Atribune
22. September, 2007 um 11:57 AM

Ich bekam letzte Woche eine eMail von jemandem, der eine besonders unangenehme Vundo Infektion auf dem System hatte. Ich hab mir sein System angeschaut, einige Malware Exemplare entnommen und herausgefunden, dass sie sich nicht in der winlogon.exe verfingen, wie die normalen Vundo's, die wir meistens zu sehen bekommen, sie verfingen sich in der lsass.exe.

Es gelang mir, diese Infektion vom System des Users zu entfernen und ihn geheilt ins Netz zu entlassen.

Seitdem hatte ich Zeit diese neue Variante zu testen und herauszufinden, wie sie sich entwickelte und habe nun eine Entfernungsmethode dafür dem VundoFix hinzugefügt.

Während ich getestet habe, bemerkte ich, dass ich, wenn ich versuchte, den Rechner neu aufzustarten, Error Meldungen bekam, dass SuperMWindow nicht geschlossen werden konnte. Ich scannte die vundo dll und fand heraus, das diese Meldungen tatsächlich vom Vundo verursacht wurden. Nach einer Suche bei Google, kam ich zu der Schlussfolgerung, dass einige User dieses SuperMWindow sahen, aber niemand wusste, was es war oder wie man es entfernen sollte. Das Vundofix nimmt sich dieser Sache an.

Das Vundofix und seine Bedienungsanleitung finden sich hier: http://vundofix.atribune.org

Alles Gute und Sicheres Surfen, Atri
Letztes Update (22. Sep. 2007 um 12:08 PM)

(frei ins Deutsche übersetzt von Ruby)

Weitere neue Vundo Varianten!
geschrieben von Atribune
Mittwoch, 16. August 2006

Also, ich habe einige dll's getestet und die Anpassungen, die ich für die Vundofix.exe gemacht hatte und plötzlich sind da diese exe Dateien aufgetaucht, mit Namen, die 8 Random Zeichen lang sind.

Nachdem ich einige Analysen getätigt habe, fand ich heraus, dass es die Winanti und Sysprotect Seiten, sowie auch andere Webseiten den Trusted Zones des Internet Explores hinzufügt.

Vundofix 6 ist geupdatet und hochgeladen worden, um diese exe Dateien und die hinzugefügten Einträge in den Trusted Zones des Internet Explores zu entfernen.

Hier die Anweisung für das VundoFix in der Version 6.4.1:

• Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.
  
• Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
• Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
• Wenn es gescannt hat, klicke auf den Remove Vundo Button.
• Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
• Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
• Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.
• Im Forum: bitte poste den Inhalt des C:\vundofix.txt.

Hinweis: es kann sein, dass das VundoFix die eine oder andere Datei aufzählt, die es nicht entfernen konnte.
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab

• Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.

Many Thanks to Atribune

Übersetzung der englischen Anleitung von Atribune ins Deutsche für die User von HijackThis.de von Ruby

[Ruby]

Wiederholte Nachfrage verzweifelter User nach der

Entfernung des Trojan Vundo/Adware Virtumondo (TR/Vundo.Gen)

veranlasst mich, diese weltweit berühmte, sehr bekannte und bei uns im Forum fast täglich mit Erfolg praktizierte Methode der Entfernung mit

Atribune's VundoFix

nun auch in den Sicherheits-News bekannt zu machen.

Die Adware Virtumondo/Trojan Vundo ist in der Regel erkennbar an zwei Einträgen im HijackThis Logfile, die gleich lauten:

Beispiel:
O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\system32\sstqq.dll
O20 - Winlogon Notify: sstqq - C:\WINDOWS\system32\sstqq.dll

Die Buchstaben sind frei gewählt, also random.

Sollte beispielsweise im HijackThis Logfile (Anleitung) nur der O2 - BHO Wert auf die Anwesenheit des Trojan Vundo/Adware Virtumondo hinweisen oder kein Hinweis mehr vorhanden sein, aber ein Antivirus Programm angeben, diese Malware - mittlerweile auch TR/Vundo.Gen genannt - auf einem System festgestellt zu haben, kann man die hijackthis.exe umbenennen in beispielsweise hjt.exe. Bitte nicht vergessen, das Programm HijackThis (HijackThis-selfinstall) nach dem Scan wieder zurückzubenennen, sonst funktionieren die anderen Funktionen nicht mehr. (Dateien umbenennen: Windows Tutorial)

Der Scan mit dem umbenannten Programm HijackThis zeigt dann wieder die gewohnten Einträge. Das ist aber nur eines der Hilfsmittel, zum auffinden der Dateien, es geht auch anders:

Trojan Vundo/Adware Virtumondo Dateien können mit der filelist.bat (Anleitung) unseres Moderators Karl83 auf dem System festgestellt werden. Sie befinden sich im System Ordner von Windows.
Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

Es handelt sich dabei sowohl um *.dll als auch um*.exe Dateien, sowie um Dateien mit den Endungen

C:\WINDOWS\system32\yyxyb.ini
C:\WINDOWS\system32\yyxyb.bak1
C:\WINDOWS\system32\yyxyb.bak2
C:\WINDOWS\system32\yyxyb.ini2

Wie in diesem Beispiel angegeben, ist darauf zu achten, dass die Buchstabenfolgen vor den Endungen die gleichen sind.

Das Logfile des VundoFix (vundofix.txt) kann beispielsweise so aussehen:

VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 10:37:37 24.08.2006

Listing files found while scanning....

C:\WINDOWS\system32\byxyy.dll
C:\WINDOWS\system32\yyxyb.ini
C:\WINDOWS\system32\yyxyb.bak1
C:\WINDOWS\system32\yyxyb.bak2
C:\WINDOWS\system32\yyxyb.ini2
C:\WINDOWS\system32\yyxyb.tmp
C:\WINDOWS\system32\anbxhvqa.exe
C:\WINDOWS\system32\fejtdbyv.exe
C:\WINDOWS\system32\hyjtiwou.exe
C:\WINDOWS\system32\jjscdgdx.exe
C:\WINDOWS\system32\kmlvbtnk.exe
C:\WINDOWS\system32\pamnguyt.exe
C:\WINDOWS\system32\rawyxqbi.exe
C:\WINDOWS\system32\rvsogqpj.exe
C:\WINDOWS\system32\sxqncdnn.exe
C:\WINDOWS\system32\vkrqelyt.exe
C:\WINDOWS\system32\whyrnhxw.exe
C:\WINDOWS\system32\wsggavru.exe
C:\WINDOWS\system32\ygqbqyaw.exe
C:\WINDOWS\system32\ynwribdq.exe
C:\WINDOWS\system32\ypuvtrlw.exe

Beginning removal...

Attempting to delete C:\WINDOWS\system32\byxyy.dll
C:\WINDOWS\system32\byxyy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyxyb.ini
C:\WINDOWS\system32\yyxyb.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyxyb.bak1
C:\WINDOWS\system32\yyxyb.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyxyb.bak2
C:\WINDOWS\system32\yyxyb.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyxyb.ini2
C:\WINDOWS\system32\yyxyb.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yyxyb.tmp
C:\WINDOWS\system32\yyxyb.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\anbxhvqa.exe
C:\WINDOWS\system32\anbxhvqa.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\fejtdbyv.exe
C:\WINDOWS\system32\fejtdbyv.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\hyjtiwou.exe
C:\WINDOWS\system32\hyjtiwou.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\jjscdgdx.exe
C:\WINDOWS\system32\jjscdgdx.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\kmlvbtnk.exe
C:\WINDOWS\system32\kmlvbtnk.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\pamnguyt.exe
C:\WINDOWS\system32\pamnguyt.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\rawyxqbi.exe
C:\WINDOWS\system32\rawyxqbi.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\rvsogqpj.exe
C:\WINDOWS\system32\rvsogqpj.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\sxqncdnn.exe
C:\WINDOWS\system32\sxqncdnn.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\vkrqelyt.exe
C:\WINDOWS\system32\vkrqelyt.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\whyrnhxw.exe
C:\WINDOWS\system32\whyrnhxw.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\wsggavru.exe
C:\WINDOWS\system32\wsggavru.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\ygqbqyaw.exe
C:\WINDOWS\system32\ygqbqyaw.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\ynwribdq.exe
C:\WINDOWS\system32\ynwribdq.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\ypuvtrlw.exe
C:\WINDOWS\system32\ypuvtrlw.exe Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 10:47:25 24.08.2006

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 12:58:17 27.08.2006

Listing files found while scanning....

Bei Anwendung von Windows XP und ME ist darauf zu achten, dass die Systemwiederherstellung im Wechsel erst deaktiviert, der Rechner gebootet und die SWH dann wieder aktiviert wird. Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Bitte einen neuen Systemwiederherstellungspunkt erstellen.

Bei Rück- und Anfragen hierzu stehen wir im Forum gern zur Verfügung.

[Ruby]

Der Trojan Vundo Remover ist nichts anderes als das

VundoFix

von
Atribune

und in unserem Forum an verschiedenen Stellen aufgeführt:

Anti-Malware (free)
Winfixer|Virtumonde|Msevents|Trojan.vundo (Adware Solutions (de-en))
Malware Guide

English-Help -> Solutions:
Winfixer|Virtumonde|Msevents|Trojan.vundo

Wer Beispiele aus dem Foren-Alltag benötigt, möge unsere Foren-Suche verwenden und beispielsweise VundoFix eingeben.

Mit Änderung des Namens 'VundoFix' in 'Trojan Vundo Remover', in diesem Thread, sollten die Schwierigkeiten all jener User behoben sein, die nicht wissen, dass das VundoFix der Remover ist für

Trojan Vundo/Adware Virtumondo (TR/Vundo.Gen)