Trojan.Vundo.B - Hilfe entfernen

Entfernung mit dem Entfernungsprogramm
Symantec Security Response hat ein Entfernungsprogramm entwickelt, um Trojan.Vundo.B-Infektionen zu entfernen. Die Entfernung mit dem Entfernungsprogramm ist die einfachste Methode und sollte daher zuerst verwendet werden.

Manuelle Entfernung
Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
2. Aktualisieren Sie Ihre Virendefinitionen.
3. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Trojan.Vundo.B infiziert erkannt werden.
4. Entfernen Sie die in die Registrierung geschriebenen Werte.
   

Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.


1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:

• Wie wird die Systemwiederherstellung in Windows Me aktiviert oder deaktiviert?
• Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?

---

Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.

---

Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).


2. Aktualisieren der Virendefinitionen
Alle Virendefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virendefinitionen auf zwei Arten erhalten:

• Das Ausführen von LiveUpdate ist die einfachste Methode, um Virendefinitionen zu beziehen: Diese Virendefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob Definitionen für diese Bedrohung über LiveUpdate verfügbar sind, klicken Sie auf den Link Virendefinitionen (LiveUpdate).
• Laden Sie die Virendefinitionen mit dem Intelligent Updater herunter. Die Intelligent Updater-Virendefinitionen werden täglich veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob Definitionen für diese Bedrohung über den Intelligent Updater verfügbar sind, klicken Sie auf den Link Virendefinitionen (Intelligent Updater).
  
  Die aktuellsten Intelligent Updater-Virendefinitionen können hier bezogen werden: Intelligent Updater-Virendefinitionen. Ausführliche Anweisungen erhalten Sie im Dokument Aktualisieren der Virendefinitionsdateien mit dem Intelligent Updater"

3. Prüfen des Computers und Löschen infizierter Dateien

1. Starten Sie Ihr Virenschutzprogramm von Symantec und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
   • Für Norton AntiVirus-Privatanwenderprodukte: Lesen Sie das Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen.
   • Für Symantec AntiVirus Enterprise-Produkte: Lesen Sie das Dokument Wie überprüfen Sie, ob ein Symantec AntiVirus Corporate Edition-Produkt zum Prüfen aller Dateien eingestellt ist.
2. Führen Sie eine vollständige Systemprüfung durch.
3. Wenn Dateien als mit Trojan.Vundo.B infiziert gemeldet werden, klicken Sie auf Löschen.
   
   

   ---

   Hinweis: Wenn Ihr Virenschutzprodukt von Symantec infizierte Dateien entdeckt und nicht reparieren kann, so wird die Datei möglicherweise von Windows verwendet. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet. Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.

   ---

   
   
   Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit Abschnitt 4 fort.
   
   Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da die Bedrohung zu dem Zeitpunkt noch nicht völlig entfernt worden ist. Ignorieren Sie diese Meldungen und klicken auf Sie einfach auf OK. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:
   
   Titel: [Dateipfad]
   Nachrichtentext: Windows cannot find [Dateiname]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.
   

4. Entfernen eines Werts aus der Registrierung

---

Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Anweisung hierzu finden Sie im Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen.

---

1. Klicken Sie auf Start > Ausführen.
2. Geben Sie regedit ein.
3. Klicken Sie auf OK.
   
   
4. Suchen Sie die folgenden Unterschlüssel und löschen Sie sie:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
   
   
5. Schließen Sie den Registrierungseditor.

Technische Details