Paules-PC-Forum.de Anzeige:

Microsoft Windows Intune: PC-Verwaltung und -Sicherheit in der Cloud: Updateverwaltung, Anti-Virus und vieles mehr!



Zurück   Paules-PC-Forum.de > Infothek - die große Wissensdatenbank > Die Infothek > 4. PC-Sicherheit
Vundo Removal Instructions Vundo Removal Instructions
Startseite Registrieren Hilfe Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren

4. PC-Sicherheit Artikel und Anleitungen zur richtigen Absicherung Deines Systems

Verlosung!


Paule bei Facebook


Paule bei Twitter

Navigation

Letzte Forenthemen
Google Chrome
Aufrufe: 139, Antworten: 4
[Windows Vista-32 bit] Viele Viren
Aufrufe: 9, Antworten: 0
Notebook-TFT als Abspielgerät...
Aufrufe: 21, Antworten: 0
SetFont
Aufrufe: 42, Antworten: 1
JavaScript Variable -...
Aufrufe: 175, Antworten: 15
Neue Partition lässt sich...
Aufrufe: 659, Antworten: 4
Intel Rapid...
Aufrufe: 57, Antworten: 8
WriteIni und Rubrik entfernen
Aufrufe: 511, Antworten: 10
Dialogbox Designer
Aufrufe: 392, Antworten: 10
PPF - Spiel "Wörter weiter...
Aufrufe: 10365, Antworten: 1598
Zeige:

Anzeige:




Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 01.09.2009, 00:08   #1 (Direktlink)
Moderator
 
Benutzerbild von Paule
 
Registriert seit: 27.10.2008
Beiträge: 3.485
Standard Vundo Removal Instructions
Autor: Mopao

Vundo Removal Instructions

Symptome

Vundo verursacht folgende Veränderungen PC:
  • Google suche wird umgeleitet.
  • Popup-Fenster tauchen auf.
  • System wird langsam.
  • Internet Startseite wird geändert.
Diagnose

Die Logfile von HiJackThis enthält folgende Zeilen:
  • O2
    Code:
    O2 - BHO: (no name) - {2A7EA911-928E-4781-AA7C-FB40994AAF21} - %systemroot%\System32\ssqrr.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - %systemroot%\System32\qunosggj.dll
O2 - BHO: (no name) - {066A2CDC-319E-4460-BA45-C24562CD51AA} - %systemroot%\system32\gebyaab.dll
O2 - BHO: (no name) - {89405A67-E1ED-43EB-A35D-F720D7C7D130} - %systemroot%\System32\awtqr.dll
  • O4
    Code:
    O4 – HKLM\..\Run: [7cc01263] rundll32.exe "%systemroot%\ropoligi.dll",b
O4 – HKLM\..\Run: [CPM7ff321ff] Rundll32.exe "%systemroot%\system32\kamideva.dll",a
  • O20
    Code:
    O20 - Winlogon Notify: mljkifc - %systemroot%\mljkifc.dll 
O20 - Winlogon Notify: rpcc - %systemroot%\rpcc.dll 
O20 - Winlogon Notify: geedb - %systemroot%\geedb.dll
  • O21
    Code:
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - %systemroot%\system32\kamideva.dll
  • O22
    Code:
    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - %systemroot%\system32\kamideva.dll
  • %Systemroot%\system32
    Code:
    %windir%\System32\qunosggj.dll
%windir%\System32\qunosggj.dll
%windir%\system32\gebyaab.dll
%windir%\System32\akfqwdhr.ini 
%windir%\System32\vxmpgjix.ini 
%windir%\System32\umdxmygi.ini 
%windir%\System32\cikvypxm.ini
Registry Entry
  • O2 Entry
    Code:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{********-****-****-****-************}\InprocServer32]
 
Zum Beipiel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1CD57603-FF16-4D14-9656-81FBD0BC9CC8}\InprocServer32]
@="X:\\WINDOWS\\System32\\awtqr.dll"
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{********-****-****-****-************}
 
Zum Beispiel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{8271C2A2-2B93-445F-97BF-F5E5363225CC}
@="X:\\WINDOWS\\system32\\gebyaab.dll"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
; Contents of value:
;   msv1_0
;   X:\WINDOWS\System32\awtqr.dll
;   
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,43,\
00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,79,00,\
73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,61,00,77,00,74,00,71,00,72,00,2e,\
00,64,00,6c,00,6c,00,00,00,00,00
  • O4 Entry
    Code:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CPM7ff321ff"="X:\\windows\\system32\\kamideva.dll"
  • O20 Entry
    Code:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebyaab] 
"Asynchronous"=dword:00000001 
"DllName"="gebyaab.dll" 
"Impersonate"=dword:00000000 
"Logon"="Logon" 
"Logoff"="Logoff" 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geedb] 
"Asynchronous"=dword:00000001 
"DllName"="X:\\WINDOWS\\system32\\geedb.dll" 
"Impersonate"=dword:00000000 
"Startup"="RealLogon" 
"Logoff"="RealLogoff"
  • O21 Entry
    Code:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  • O22 Entry
    Code:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}

Entfernung
  • ComboFix.exe
    • Lade die Datei ComboFix.exe auf den Desktop.
    • Deaktiviere das Anti-Virus Programm.
    • Alle Programme schließen.
    • ComboFix.exe doppelklicken und den Anweisungen folgen.
    • Installation der Wiederherstellungskonsole zustimmen, falls dazu aufgefordert wird.
    • Den Anweisungen weiter folgen.
    • Poste den Inhalt der Datei C:\ComboFix.txt im Forum Thread.

  • Malwarebytes Anti-Malware
    • Lade die Datei Malwarebytes auf den Desktop.
    • Installiere Malwarebytes Anti-Malware.
    • Führe eine Programmaktualisierung durch.
    • Vollständigen Systemscan durchführen.



  • VundoFix
    • Lade die Datei Vundofix auf den Desktop.
    • Alle Programme schließen.
    • VundoFix.exe doppelklicken.
    • Den Scan for Vundo Button klicken.
    • Wenn das Tool den Scan beendet hat, klicke den Remove Vundo Button.
    • Das entfernen mit Yes bestätigen, Desktop Icons und die Taskbar verschwinden.
    • Der Computer wird vom Programm ausgeschaltet.
    • Den Computer wieder einschalten.
      Nach dem Scan befindet sich unter C:\ die Datei vundofix.txt, poste den Inhalt im Forum Thread.



  • Fixvundo
    • Lade die DateiFixvundo auf den Desktop.
    • Alle Programme schließen.
    • Den Button Start klicken.
    • Den Anweisungen folgen.
    • Nach dem Scan befindet sich auf dem Desktop die Datei FixVundo.log, poste den Inhalt im Forum Thread.



  • Virtumonde_Remover.exe
    • Lade die Datei Virtumonde_Remover.exe auf den Desktop.
    • Virtumonde_Remover.exe doppelklicken.
    • l agree klicken.
    • Scan starten.
    • Den Anweisungen auf dem Bildschirm folgen.



  • F-vmonde
    • Lade die Datei F-vmonde auf den Desktop und entpacke sie.
    • Alle Programme schließen.
    • Starte f-vmonde.exe.
    • Den Anweisungen folgen.



  • VirtumundoBeGone
    • Lade die Datei VirtumundoBeGone.exe auf den Desktop.
    • Alle Programme schließen.
    • VirtumundoBeGone.exe doppelklicken.
    • Den Anweisungen folgen.
    • Nach dem Scan den Inhalt der Datei VBG.txt im Forum Thread posten.


Nach der Reinigung alle wichtigen Passwörter ändern!
Geändert von Paule (25.09.2009 um 02:30 Uhr)
Paule ist offline   Mit Zitat antworten
Werbung
Antwort

  Paules-PC-Forum.de > Infothek - die große Wissensdatenbank > Die Infothek > 4. PC-Sicherheit

Lesezeichen
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
NewDotNet Removal Instructions Paule 4. PC-Sicherheit 0 01.09.2009 00:00



Alle Zeitangaben in WEZ +1. Es ist jetzt 06:31 Uhr.

Kontakt - Paules-PC-Forum.de - Archiv - Nach oben

Powered by vBulletin® Version 3.8.7 (Deutsch)
Copyright ©2000 - 2012, vBulletin Solutions, Inc.
Powered by vBCMS® 2.7.0 ©2002 - 2012 vbdesigns.de
(c) Paules-PC-Forum.de

::: Impressum :::

Search Engine Optimization by vBSEO 3.3.2