You are not logged in.

Sunday, August 31st 2014, 6:14am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

markusg

Community member

  • "markusg" started this thread

Date of registration:
Mar 12th 2006

  • Send private message

1

Sunday, October 15th 2006, 2:39pm

TR/Vundo.gen Vorbereitung zur Entfernung

Hallo,
dies soll eine vorbereitende Anleitung zur Entfernung des Vundos sein. Wer sich das alleine zutraut, kann es natürlich auch selbst machen...

Da Vundo über einen Java-Exploit in das System eindringt, entferne bitte zuerst die installierte Javaversion (Sun) und installiere danach die neueste (Java Runtime Environment (JRE) 6). Wichtig hierbei ist, dass alle Reste der Vorgängerversion entfernt wurden.

Poste bitte die genauen Fundorte von Antivir (findest du im Controllcenter - Registerblatt Berichte)

1.
Einstellen der Ordneroptionen:
Gehe auf Arbeitsplatz - Extras - Ordneroptionen - Registerkarte Ansicht, dort folgendes einstellen:

Erweiterungen bei bekannten Dateitypen ausblenden - off,
Geschützte Systemdateien ausblenden - off,
Inhalte von Systemordnern anzeigen - on
und bei versteckte Dateien und Ordner alle anzeigen - on.

2.
Erstelle ein Hijackthis Logfile:
hijackthis
bitte das Programm in einem eigenen Ordner instalieren und die hijackthis.exe in hjt.com umbenennen, da sich Malware vor der hijackthis.exe verstecken kann.



3.
Filelist.zip:
Hier
Einfach auf deinem Desktop entpacken, dann den Rechner neu starten. Dann die filelist.bat anklicken.
Nun öffnet sich dein bevorzugter Editor.
Wir benötigen die letzten 30 Tage folgender Verzeichnisse:

Quoted

Verzeichnis von C:\
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOKUME~1\Profil~1\LOKALE~1\Temp

[size="1"]Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32
(Windows XP).[/size]
Nun können wir sehen, welche Dateien in diesen Verzeichnissen installiert wurden.
Dies ist nötig, da es beim Vundo immerwieder neue schädliche Dateien gibt und wir sie zur Bekämpfung aufspüren müssen.
Nun auch die Filelist in deinem Beitrag posten.


4.
Rootkitscans:

http://www.hijackthis-forum.de/showthread.php?t=20219
chatchme:
http://www.hijackthis-forum.de/showthread.php?t=26821

5.
Vundofix:
http://www.hijackthis-forum.de/archive/i…hp/t-18415.html

Hier findet man eine Anleitung und den Downloadlink für den Vundo-fix.
Wenn du nicht alleine reinigen willst, lies dir bitte nur die Anleitung durch und wartet auf Anweisungen!
bitte nutzt diesen downloadlink:

http://vundofix.atribune.org

dort auf der seite gibts immer die aktuellste version
6.
[color="DarkRed"][size="3"]ComboFix[/size][/color]

Ein Leitfaden und Tutorium zur Nutzung von ComboFix[list]Lade dir das Tool
hier herunter auf den Desktop -> KLICK[/list][color="Red"]Das Programm
jedoch noch nicht starten sondern zuerst folgendes tun:[/color][list]Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software
und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.[/list][list]Dann folgende Anleitung durchlesen und abarbeiten ->
CCleaner Systembereinigung[/list][list]Starte nun die [color="Red"]combofix.exe[/color]
von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.[/list][list]Im Anschluss öffnet sich automatisch eine combofix.txt,
diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: [color="Blue"]C:\ComboFix.txt[/color].[/list]
Wichtiger Hinweis:[indent]Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
[color="Red"]Es sollte nie auf eigene Initiative hin ausgeführt werden![/color] Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.[/indent]Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken
um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
ich weiß aber net wie das hier mit den listen geht der übernimmt die net. punkt 5 also vundofix ersetzen durch malwarebytes:
Malwarebytes Anti-Malware

http://www.majorgeeks.com/downloadget.php?id=5756&file=11&evp=693ee0b20204960edfd909666f809b26

Liste mit 1 Einträgen
• Starte das Programm
und mache ein online update
ueberpruefe ob Du die aktellsten Virendefinitionen hast
schliesse ALLE Anwendungen - Auch deinen Browser
Waehle ALLE Laufwerke
Druecke Starte SCAN
Warte bis der Scan durchgelaufen ist
listen Ende

Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantaene

Dann show results
die bitte hier ins Forum posten falls du die Bereinigung nicht allein vornimmst.

7.
Antivir so einstellen:
einstellungen
zusätzlich:
- Masterbootsektoren durchsuchen on
- Rootkitsuche on.
Update nun Antivir!
Prüfe nun dein System vollständig.

ACHTUNG!!!!
C:\Dokumente und Einstellungen\xxxl\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3

oder ähnlich, werden einige Meldungen lauten, wenn du combofix auf deinem System hast. Bitte ignoriere diese Meldungen. Bitte stelle alle Funde immer in Quarantäne und das Logfile wieder posten!



Wenn du Fragen bzw. Probleme mit der Anleitung hast, stelle sie bitte im Forum.
Dies waren die ersten Schritte zur Forbereitung und Beseitigung des Vundo.

This post has been edited 38 times, last edit by "Leo 2005" (Jul 15th 2008, 10:56am)


Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

2

Monday, October 16th 2006, 5:17pm

Hinweis

Hi,

bitte in dieses Thema nicht posten - es handelt sich hier nur um eine Anleitung.
Posts bitte nur in den passenden anderen Unterforen vornehmen.


-------------------------------------------------------------

Please don't post here. This thread is only a manual to delete the named malware.
Use instead the resp. subforum.



Danke/Thanks
Michael
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

This post has been edited 1 times, last edit by "Michael_Mann" (Oct 16th 2006, 6:11pm)


markusg

Community member

  • "markusg" started this thread

Date of registration:
Mar 12th 2006

  • Send private message

3

Saturday, December 22nd 2007, 9:42pm

anleitung überarbeitet