Trojan. Vundo
In dieser Anleitung werden Informationen über den Schädling Vundo/Virtumonde und Tipps zur Erkennung bzw. Entfernung gezeigt. Vundo ist ein Trojaner, der meistens eine nicht vorhandene Infektion durch andere Schädlinge vortäuscht und somit für andere Malware Programme wirbt. Dem User wird somit eine Beseitigung der Schädlinge gegen Bezahlung angeboten, bezahlt man diese Summe ist man trotzdem nicht von der Infektion befreit.
1.) Wie bemerke ich eine Vundo Infektion ?
Die ersten Anzeichen sind:
– Das System wird langsamer
– Die Startseite des Browsers wird geändert
– Der Browser leitet auf andere Seiten um
– Popup Meldungen tauchen auf
2.) Einträge die von Vundo erstellt werden:
Die Einträge können verschieden sein, da der Schädling zufällige DLLs erstellt.
Hier ist eine kleine Liste der DLL- und Registry-Dateien, die für eine Vundo Infektion bekannt sind:
|
|
Weitere Dateien die eine Vundo Infektion aufzeigen:
|
|
Registry Einträge die bei einer Vundo Infektion erstellt werden:
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{965f4cc8-42a4-45e5-b0ed-8677fb675aa4}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9d0e88ac-5012-43a4-8f3d-cfc5d9ad685d}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{38637efe-db1a-483c-a98c-b94df9c8c130}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{472c09de-3502-414d-b39b-0afd6efa4bca}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{111479C2-D213-4ACA-899F-DDC6FE2A637B}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{17E9C4F4-43D5-41FF-9BE8-8847AFC260C4}
- MicrosoftWindows NTCurrentVersionWinlogonNotifyawtusqQk
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{87C4EC40-45E0-4795-8468-ED8F87056A59}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{084677b7-fc41-4e07-9c41-08d2d3697b0c}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{ed43d6be-defb-4730-97c0-da140791547d}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{ec201117-1dbc-441f-9b43-539c0d451d2e}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{178d586e-b3d6-4548-b34c-7c1ffbfcdca7}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{d76ea4c0-5b1b-4ceb-b265-140e51c6b012}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AF209DB6-29BB-4F8B-84E8-2056EA999610}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{fb55919c-72fa-4b2c-8e11-c563d0268004}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
- MICROSOFTWINDOWS NTCURRENTVERSIONWINLOGONNOTIFYvtUkhETm
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{b759fdbe-71e0-48b3-8d24-698371c66e6c}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{D1DC124D-8BC4-46D6-A3C5-454C53324F4E}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5102b002-845b-4545-8c80-fdf9cf4a910b}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{a2a4374d-86be-4a53-96aa-de8d5c353558}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{f92a2961-c48e-48f9-94c4-9b16f66b2e05}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1326b103-1a17-4dcd-a1e9-d7444462b3f5}
In einem Hijackthis Logfile erkennt man eine Vundo Infektion meißt an einem/mehreren 02 Einträgen und 020 Einträgen die sich auf den selben Dateipfad beziehen.
Ein Beispiel dafür:
O2 – BHO: MSEvents Object – {827DC836-DD9F-4A68-A602-5812EB50A834} – C:WINDOWSsystem32sstqq.dll
O20 – Winlogon Notify: sstqq – C:WINDOWSsystem32sstqq.dll
Programme zur Bereinigung einer Vundo Infektion sind:
- Combofix (Nur für Experten empfohlen!)
- Vundofix
- Fixvundo
- F-vmonde
- VirtumundoBeGone
- Malwarebytes
Tipps zur Bereinigung von Vundo:
- Hijackthis Logfile anfertigen, ein neues Thema in unserem Sicherheitsforum erstellen (Betreff zum Beispiel “Vundo Infektion”) und das Logfile dort hineinkopieren.
- Malwarebytes anwenden -> Funde löschen lassen und den Report des Programms im eigenen Thema angeben.
- Computer neustarten
- Combofix anwenden und Logfile posten (vor Combofix Download und Scan AV-Prog. deaktivieren)
- A-squared free runterladen -> installieren -> Update -> Detail Scan -> Funde löschen lassen + Report posten.
- Computer neustarten
- Cureit runterladen und scannen lassen -> Weitere Funde löschen lassen und den Report posten.
- Neues Hijackthis Logfile erstellen
und Posten.Weitere Anweisungen sind je nach Infizierung erforderlich!!
- datenschutz (34x gelesen)
- windows-beschleunigen (29x gelesen)
- windows-schneller-starten-autostart-aufraeumen (24x gelesen)
- pc-einsteigerkurs (20x gelesen)
- pc-einsteigerkurs-1-2 (5x gelesen)
Mehr Tipps zu Trojan. Vundo
-
Ablauf einer Computer Infektion mit Schadsoftware
Die Sicherheitsfirma Finjan hat in seinem Monatsbericht das genaue vorgehen eines Trojaners dokumentiert, wobei man einen Server im Internet entdeckte, der 1,4 GB an gestohlenen...
-
FHEM: Selber Werte in’s Logfile schreiben
Das Logfile ist, gerade bei wachsenden Smart-Home Lösungen, schnell sehr wichtig: So lassen sich leichter Fehler in der FHEM-Programmierung finden, die einem sonst lange Kopfzerbrechen...
-
FHEM Logfile leichter lesen: Kopieren und per FTP herunterladen
Wer bei Problemen mit dem FHEM Smart-Home Server die Log-Dateien ansehen möchte, findet oft viele Zeilen Text. Hier macht es keinen Spaß, diese in der...
-
FHEM Logfile leichter lesen: Kopieren und per FTP herunterladen
Wer bei Problemen mit dem FHEM Smart-Home Server die Log-Dateien ansehen möchte, findet oft viele Zeilen Text. Hier macht es keinen Spaß, diese in der...
-
Logfile mit OTL erstellen
OldTimer's List-It (OTL) dient der Analyse / Diagnose Deines Windows-Systems (ab Win. 98, 32/64bit) um im Forum weitere Unterstützung durch unsere Helfer geben zu können,...
-
Hijackthis Anleitung
Der erste Schritt zur Anwendung von Hijackthis ist der Download. Ist dieser abgeschlossen, sollte die .exe-Datei in einem separaten Ordner abgespeichert werden, damit zu späteren...
- Trojan.Bitcoin
Hallo Zusammen,folgendes Problem habe ich:Malwarebytes lokalisierte den obig...
- IDP.Trojan E13F31C
- Tastatur fehlerhaft
HalloLeider habe ich heute meine Tastatur verstellt. Wenn ich z.B. ein "e" tippe, macht es...
- Ein Tourist.................
Ein Tourist möchte mit der Fähre über den See Genezareth fahren.Sagt der Fährmann:...
- adobe id
Ich kann adobe id nicht öffnen. es läd und läd. woran kann das liegen? und was kann ich tun? ...
- Java Plugin im Firefox aktivieren?
Hallo,kann man das Java Plugin im Firefox wieder aktivieren?Wie muss man ggf. vorgehen? ...
- Welche wege gibt es das Internet zu nutzen ?
Hallo :)Also mein Vater hatte vor einigen Tagen von der Tkom eine Sicherheitswarnung bekommen,...
- Fragen zu Tablet PC
Hallo,ich habe einen Tablet 2 von Samsung und komme in einigen Punkten mit der Bedienung noch ...
- der pc konnte nicht gestartet werden?
Hallo erstmal! Ich habe folgendes Problem mit meinem PC: (2 Jahre, Windows 7)Nach dem ei...
Trojan. Vundo