[TomO]

Moin @all,

heute kann ich mich für Eure bisherige Hilfe endlich revangieren.

Habe 2 Tage mit Vundo (wvuss.dll) gekämpft. Hab' gewonnen

Mein Scanner-AntiVir Classic- hat ihn zwar gefunden, konnte ihm aber nichts anhaben.
Auch KAspersky und Sophos haben nicht geholfen.
Über Google bin ich hier
http://forums.techguy.org/security/454741-...ect-popups.html
weitergekommen. Wer nicht alles lesen will, das Tool gibts hier:
http://www.atribune..../click.php?id=4

Hat aber auch nur Anfangs geholfen da sich das Mistding immer wieder reaktiviert hat.

Übrigens: HighjackThis hat nach der ersten Säuberung nichts mehr angezeigt.
Allerdings das Tool von a²: "a-squared HiJack free" -> solltet Ihr Euch mal ansehen.

Also hab' ich mich "zu Fuss" auf die Suche gemacht und einiges mehr entdeckt als ich im Netz in Erfahrung bringen konnte. Will aber nicht behaupten, dass es nicht doch schon eine Anleitung oder ein Tool gibt welches den Mist restlos beseitigt.

Deshalb will ich hier den "Roman" erstmal beenden.
Wenn Interesse an meiner Lösung besteht gebt mir bitte entsprechendes Feedback.

Gruß
TomO

[blitz]

@ TomO

Super Anleitung

Du hast nicht gewonnen,der Sieger heisst Vundo!

1. Um sich Vundo zu fangen muss einiges schief laufen (Rechner/User)
2. Die Entfernung von Vundo dauert 5min (Backup)

Nimm deinen Rechner vom Netz und mach das Ding neu.

P.S. Hast du irgendwas von dem was du hier im Forum gelesen hast verstanden?

[TomO]

Moin blitz,

keine Sorge. Ich versteh mit Sicherheit mehr von der Sache als dein Eindruck es vermuten lässt.

zur Anleitung:

Anleitungen mit meterlangen HJT-Logs und Tool-Empfehlungen gibt's genug. (hab zwar noch keine für die Wvuss.dll gefunden, ist ja aber nur ein Name. Die Funktionsweise wird wohl ähnlich sein.)
Die meisten aufgeschreckten User werden von dem was in den Threads erwähnt wird wohl noch nicht viel gehört haben. Deshalb auch der Hinweis auf "zu Fuss", damit nicht von irgendeinem OneKlick-Tool ausgegangen wird.

Ich hab ihn via DOS beseitigt. Das dürfte für Normaluser wohl nicht so leicht nachvollziehbar sein.

zu 1.

is klar. Schäm mich auch dafür.

zu 2.

Erst Mal eins haben. Erfahrungsgemäß haben die wenigsten eins zur Hand. Wenn doch, müsste man erst sicherstellen das es nicht auch verseucht ist. Dauert mit Sicherheit länger als 5 Min.

Abgesehen vom Studium der Logs hat die eigentliche Entfernung über DOS wirklich nur 5 Min. gedauert.
Dabei konnte ich auch noch 3 Dateien sichern. Bin gespannt was die Analyse bringt.

[ShadowHunter]

Du kannst zu 100% sagen, dass sich keine weitere Malware eingeschlichen hat? keine weiteren Veränderungen am System vorgenommen wurden? Von allen Dateien Prüfsummen hast und diese auch überprüft hast?

Kompromittierung ist und bleibt Befall den du nur durch ein sauberes Image oder neu aufsetzen sinnvoll bekämpfen kannst.
Warum ist es zuviel verlangt vone inem System wenn man es eingerichtet hat ein Image zu machen und dieses manchmal zu aktualisierne. Festplatten kosten echt nicht mehr die Welt!

[JollyRoger2408]

@TomO:

Zitat

Ich hab ihn via DOS beseitigt. Das dürfte für Normaluser wohl nicht so leicht nachvollziehbar sein.

Na, wenn du da mal nicht die WF-Kollegen unterschätzt.
Ansosten - siehe @ShadowHunter's Post.