In dieser Anleitung werden Informationen über den Schädling Vundo/Virtumonde und Tipps zur Erkennung bzw. Entfernung gezeigt. Vundo ist ein Trojaner, der meistens eine nicht vorhandene Infektion durch andere Schädlinge vortäuscht und somit für andere Malware Programme wirbt. Dem User wird somit eine Beseitigung der Schädlinge gegen Bezahlung angeboten, bezahlt man diese Summe ist man trotzdem nicht von der Infektion befreit.
1.) Wie bemerke ich eine Vundo Infektion ?
Die ersten Anzeichen sind:
- Das System wird langsamer
- Die Startseite des Browsers wird geändert
- Der Browser leitet auf andere Seiten um
- Popup Meldungen tauchen auf
2.) Einträge die von Vundo erstellt werden:
Die Einträge können verschieden sein, da der Schädling zufällige DLLs erstellt.
Hier ist eine kleine Liste der DLL- und Registry-Dateien, die für eine Vundo Infektion bekannt sind:
lspak.dll
rulesak.dll
cidrules.dll
hrj6051se.dll
jtr0079me.dll
pmnno.dll
geebc.dll
ssttr.dll
SbCIe02b.dll
pmnlk.dll
iifddby.dll
ddcbabx.dll
opnnljj.dll
|
|
cbxxywx.dll
nnnmmlk.dll
vtuspmn.dll
mllkk.dll
sstrs.dll
awtqqnl.dll
wvwxv.dll
winsrc.dll
maxiuyxb.dll
vkvhdvwt.dll
cmsmysnc.dll
dderdnoc.dll
ddccCVml.dll
|
Weitere Dateien die eine Vundo Infektion aufzeigen:
bjfcgrnb.dll
nvrxxael.dll
qvslys.dll
uucadhvt.dll
opnnljj.dll
winhost.exe
quicken.exe
unknown.exe
hrj6051se.dll
jtr0079me.dll
pmnno.dll
geebc.dll
ssttr.dll
SbCIe02b.dll
pmnlk.dll
2chkdsk
iifddby.dll
ddcbabx.dll
castlecops[1].exe
gf1.0.0.2
kopCFEWV.exe
cbxxywx.dll
nnnmmlk.dll
vtuspmn.dll
mllkk.dll
sstrs.dll
awtqqnl.dll
wvwxv.dll
winsrc.dll
maxiuyxb.dll
byxurop.dll
swxdoghs.dll
pmkhg.dll
mllmm.dll
ddcYpmkK.dll
geBtQhhI.dll
ytjknmcy.dll
urqQjkkL.dll
qoMfDTNg.dll
geBqPHBS.dll
awtqoOGx.dll
ddcYppmn.dll
wvUNfecD.dll
ysaakiwg.dll
|
|
keawacyt.dll
jkkHYsPF.dll
1014[1].exe
asd0.exe
is[1].exe
jcjxhnsa.dll
xxyvvsSi.dll
nnnoPGXp.dll
tuvWoopm.dll
pjwtknhj.dll
qgbxdqve.dll
fffsepye.dll
dll[2].dll
services.dll
dll[1].dll
vkvhdvwt.dll
cmsmysnc.dll
dderdnoc.dll
ddccCVml.dll
gbcopght.dll
fuxcliro.dll
kkydlppr.dll
iifcATkJ.dll
dbyjcbec.dll
awfrnaps.dll
vqtvwlgw.dll
inlvolhc.dll
nnnmnkll.dll
wvUmjhIY.dll
mlJYqPjj.dll
khfCrPjh.dll
xxyxYqnl.dll
eedfbf.dll
eynrdxpd.dll
plcvkrgy.dll
plpecm.dll
urqOIbcy.dll
xhyajmtc.dll
buhkhsbk.dll
ccmsit.dll
gxhfdktc.dll
hhjfti.dll
gunvoq.dll
unknown.exewindowsupd2.exe
|
Registry Einträge die bei einer Vundo Infektion erstellt werden:
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{965f4cc8-42a4-45e5-b0ed-8677fb675aa4}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9d0e88ac-5012-43a4-8f3d-cfc5d9ad685d}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{38637efe-db1a-483c-a98c-b94df9c8c130}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{472c09de-3502-414d-b39b-0afd6efa4bca}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{111479C2-D213-4ACA-899F-DDC6FE2A637B}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{17E9C4F4-43D5-41FF-9BE8-8847AFC260C4}
- MicrosoftWindows NTCurrentVersionWinlogonNotifyawtusqQk
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{87C4EC40-45E0-4795-8468-ED8F87056A59}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{084677b7-fc41-4e07-9c41-08d2d3697b0c}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{ed43d6be-defb-4730-97c0-da140791547d}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{ec201117-1dbc-441f-9b43-539c0d451d2e}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{178d586e-b3d6-4548-b34c-7c1ffbfcdca7}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{d76ea4c0-5b1b-4ceb-b265-140e51c6b012}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AF209DB6-29BB-4F8B-84E8-2056EA999610}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{fb55919c-72fa-4b2c-8e11-c563d0268004}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
- MICROSOFTWINDOWS NTCURRENTVERSIONWINLOGONNOTIFYvtUkhETm
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{b759fdbe-71e0-48b3-8d24-698371c66e6c}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{D1DC124D-8BC4-46D6-A3C5-454C53324F4E}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5102b002-845b-4545-8c80-fdf9cf4a910b}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{a2a4374d-86be-4a53-96aa-de8d5c353558}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{f92a2961-c48e-48f9-94c4-9b16f66b2e05}
- MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1326b103-1a17-4dcd-a1e9-d7444462b3f5}
In einem Hijackthis Logfile erkennt man eine Vundo Infektion meißt an einem/mehreren 02 Einträgen und 020 Einträgen die sich auf den selben Dateipfad beziehen.
Ein Beispiel dafür:
O2 – BHO: MSEvents Object – {827DC836-DD9F-4A68-A602-5812EB50A834} – C:WINDOWSsystem32sstqq.dll
O20 – Winlogon Notify: sstqq – C:WINDOWSsystem32sstqq.dll
Programme zur Bereinigung einer Vundo Infektion sind:
Tipps zur Bereinigung von Vundo:
