- #1
N
Necr0manzer
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 11.12.2005
- Beiträge
- 118
- Reaktionspunkte
- 0
- Ort
- AC
Hallo,
ich habe seit einigen Tagen den Trojaner Vundo auf meinem Rechner und hab ich nicht losbekommen, zumal Avira die permanent upgedateten Dateien nicht erkennt. (Erste Infektion war am 30.08, heute habe ich DLLs entdeckt, die erst seit heute Morgen bei wenigen Antivirenherstellern bekannt sind... Auch Vundofix fand keine infizierten Dateien - dass es sich überhaupt um Vundo handelt weiß ich nur dank Virustotal.)
Deshalb habe ich versucht die Dateien per Hand mittels KillBox zu entfernen (Delete on Reboot und Unregister DLL aktiviert, da sich einige Dateien normal nicht löschen ließen.), aber das hat nie ganz funktioniert. Nach wenigen Stunden hatte ich den Trojaner wieder drauf.
Deshalb bin ich in den abgesicherten Modus gegangen, habe mir die Namen der DLLs notiert, sämtliche Hinweise auf diese in der Registry gelöscht und neuen DLLs versucht mittels KillBox zu löschen.
Das Programm fragte mich, ob ich jetzt neustarten wolle (da die Dateien beim Reboot zu löschen sind), was ich mit JA beantwortete. Kurz vor dem Reboot kam dann von Killbox folgende Fehlermeldung: pending file rename operations registry data has been removed by external process.
Mittels Unlocker 1.8.3 stellte ich fest, dass 2 der DLLs von lsass.exe und explorer.exe verwendet werden und habe versucht diese Programme bzw die DLL zu unlocken.
Daraufhin kam eine schöne Fehlermeldung von Windows, dass lsass.exe abgestürzt sei und der Rechner in 60 Sekunden neugestartet werden müsse; explorer.exe war zu dem Zeitpunkt auch abgestürzt und in Unlocker war nun das Programm rundll32.exe anstatt der beiden anderen zu sehen. (In der Registry waren die DLLs immer mittels rundll32.exe im Autostart drin!)
Naja, Moral der Geschichte: Wenn ich mich jetzt versuche im Abgesicherten Modus anzumelden (ohne Remotedingens!) gehts nicht - weder als Admin, noch mit normalem Konto... Und im Standardmodus geht das auch nicht. Ich habe kein Passwort gesetzt, dennoch verlangt er von mir eine Eingabe.
[br][blue]*PCDpan_fee: Verschoben aus "Windows XP"*[/blue]
ich habe seit einigen Tagen den Trojaner Vundo auf meinem Rechner und hab ich nicht losbekommen, zumal Avira die permanent upgedateten Dateien nicht erkennt. (Erste Infektion war am 30.08, heute habe ich DLLs entdeckt, die erst seit heute Morgen bei wenigen Antivirenherstellern bekannt sind... Auch Vundofix fand keine infizierten Dateien - dass es sich überhaupt um Vundo handelt weiß ich nur dank Virustotal.)
Deshalb habe ich versucht die Dateien per Hand mittels KillBox zu entfernen (Delete on Reboot und Unregister DLL aktiviert, da sich einige Dateien normal nicht löschen ließen.), aber das hat nie ganz funktioniert. Nach wenigen Stunden hatte ich den Trojaner wieder drauf.
Deshalb bin ich in den abgesicherten Modus gegangen, habe mir die Namen der DLLs notiert, sämtliche Hinweise auf diese in der Registry gelöscht und neuen DLLs versucht mittels KillBox zu löschen.
Das Programm fragte mich, ob ich jetzt neustarten wolle (da die Dateien beim Reboot zu löschen sind), was ich mit JA beantwortete. Kurz vor dem Reboot kam dann von Killbox folgende Fehlermeldung: pending file rename operations registry data has been removed by external process.
Mittels Unlocker 1.8.3 stellte ich fest, dass 2 der DLLs von lsass.exe und explorer.exe verwendet werden und habe versucht diese Programme bzw die DLL zu unlocken.
Daraufhin kam eine schöne Fehlermeldung von Windows, dass lsass.exe abgestürzt sei und der Rechner in 60 Sekunden neugestartet werden müsse; explorer.exe war zu dem Zeitpunkt auch abgestürzt und in Unlocker war nun das Programm rundll32.exe anstatt der beiden anderen zu sehen. (In der Registry waren die DLLs immer mittels rundll32.exe im Autostart drin!)
Naja, Moral der Geschichte: Wenn ich mich jetzt versuche im Abgesicherten Modus anzumelden (ohne Remotedingens!) gehts nicht - weder als Admin, noch mit normalem Konto... Und im Standardmodus geht das auch nicht. Ich habe kein Passwort gesetzt, dennoch verlangt er von mir eine Eingabe.
[br][blue]*PCDpan_fee: Verschoben aus "Windows XP"*[/blue]
