Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Vundo

Infecties > Archief T - Z

Vundo / Virtumonde / Conhook.

Een lastige infectie om te verwijderen, aangezien één of meerdere random dll-bestanden zich hechten aan winlogon.exe.
De .dll is ook actief als een browser helper object.
De gerelateerde vundo sleutels weten zich soms te verbergen in een hijackthislog.
Sommige varianten maken gebruik van willekeurige bestandsnamen, een willekeurige notifykey en een willekeurige CLSID.
Sommige varianten maken ook gebruik van deze opstartsleutel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run  
Ze plaatsen hierin een verwijzing naar een willekeurig .dll bestand dat na elke herstart via rundll32.exe wordt uitgevoerd om de computer telkens opnieuw te infecteren.

Een andere variant van deze infectie speurtin de opstartsleutels en zoekt naar het pad van het uitvoer bestand (een .exe).
De infectie maakt een backup van dit .exe bestandje door een spatie in de bestandsnaam toe te voegen.
De originele bestandsnaam gebruikt de infectie om zich na een reboot opnieuw te activeren.

Deze infectie gaat gepaard met popups. (errorsafe, drivecleaner, ...)

Er bestaan een aantal tooltjes die je kunnen helpen met het verwijderen van deze infectie.
Heb je te maken met de nieuwste varianten, deze die gebruikt maakt van de runsleutels en legitieme bestanden vervangt, dan vraag je best hulp op een gespecialiseerd fora. Alle hieronder besproken tools kunnen deze laatste variant niet verwijderen.


ComboFix
(gemaakt door sUBs)
Combofix is een tooltje gemaakt door sUBs, dat verschillende lastige infecties kan verwijderen, waaronder ook de vundo trojan.
Volg de instructies over ComboFix die hier
of hier gegeven worden.
Wordt vundo op de computer gevonden, dan zal een reboot nodig zijn.
Als ComboFix klaar is, opent er een logfile (combofix.txt). Deze logfile geeft ondermeer een overzicht van eventuele (vundo)bestanden die op de computer verwijderd werden.
(Let op: ComboFix kan ook andere aanwezige malware op de computer verwijderen!)
Gebruik van ComboFix doe je best met begeleiding van mensen die de log kunnen analyseren.
Meld je daarom aan, op één van de fora die hier
gemeld worden.


VundoFix
(gemaakt door Attribune)
Download VundoFix
en plaats het op je bureaublad.
Dubbelklik op VundoFix.exe om het programma te starten.
Klik op de knop Scan for Vundo.
Als de scan klaar is, klik je op de knop "Remove Vundo".
Er wordt gevraagd of je de bestanden wil verwijderen. Klik op "YES".
Nadat je dit gedaan hebt, zullen de icoontjes op je bureaublad verdwijnen.
Je krijgt een melding dat de computer zal afsluiten. Klik op "OK".
De computer wordt opnieuw gestart.
Een overzicht van wat VundoFix heeft gevonden en verwijderd, kan je vinden in het bestand C:\vundofix.txt.


VirtumundoBegone

Download VirtumundoBegone
en plaats het op op je bureaublad.
Dubbelklik op VirtumundoBeGone.exe en volg de aanwijzingen.
VirtumundoBegone zal de computer opnieuw starten. (dit gaat gepaard met een blauw scherm (BSOD))
Het logbestand van VirtumundoBegone (VBG.txt) vind je nu op het bureaublad.


Terug naar de inhoud | Terug naar het hoofdmenu