Vorsicht:Vundo

Seite 2 von 2

Wie konnte ich nun den Teufel packen? AntiVir nannte mir die Namen der Krankheiten: TR/BHO.axg und TR/Vundo.DWB. Das TR steht für „Trojanisches Pferd“, die Aufgabe dieser Kerlchen ist es, mich auf nervige, verschmutzte Seiten zu leiten, mir Werbung von Neckermann (!) und anderen düsteren Unternehmen, die es mit sauberem Wettbewerb nicht so ernst nehmen, ungefragt einzublenden und schließlich mitzuprotokollieren, was ich bei diversen Suchmaschinen so suche. Und überhaupt welche Seiten ich besuche.

Dazu legte einer der beiden Trojaner Tausende temporäre Dateien auf meiner „C:“-Partition an. Und die konnte ich nicht löschen. Er schrieb ja die ganze Zeit neue Informationen über mich dort hinein. Mittlerweile aber hatte ich gefunden, was das Problem war. Ich kannte also immerhin meinen Feind. Und der war ziemlich nervig – und gewieft.

VundoFix knackte schließlich das hartnäckige Problem.

Einfache Viren kann man löschen, indem man sie als aktive Prozesse stoppt und dann die Dateien einfach von der Festplatte löscht. Beim nächsten Systemneustart sind die Viren dann hinüber. Sind die Schädlinge aber gewiefter, setzen sie sich „huckepack“ auf aktive, betriebswichtige Anwendungen. Sie lassen sich „einladen“, indem sie einen Eintrag in der Registrierung hinterlassen. Dort fand ich auch schnell die beiden Trojaner auf, wie sie sich von Winlogon.exe beim Starten anschalten ließen. Ich löschte die Einträge. Und stellte nach einem Neustart und noch vielen Versuchen fest, dass das Löschen nichts brachte. Die aktiven Anwendungen sorgten dafür, dass der Eintrag in der Registrierung bestehen blieb.

Das ist der Typ „Vundo“, dem beide angehören. Was zu tun war, wusste ich nun: irgendwie mussten die beiden DLLs innerhalb der aktiven Winlogon.exe gestoppt werden und dann gelöscht. Mit dem Firefox und einem immer wieder Alarm schlagenden AntiVir suchte ich in Trojanerforen nach anderen Opfern, die sich von Profis Rat geben ließen. Aktive DLLs kann man nicht stoppen. Vundos kann man nicht auf herkömmliche Weise „killen“. Doch es gab Hoffnung (auch, wenn die in neun von zehn Foren schon aufgegeben worden war). Ein Profi empfahl das kleine Tool „VundoFix.exe“.

Ich führte es aus, erst wurde eine halbe Stunde lang alles durchleuchtet – etwa zehn Treffer gab es. Dann startete VundoFix den Computer neu, schaltete sich noch vor die gefährlichen DLLs in die Winlogon und löschte die Viren. Dann konnte ich sogar die lästigen Pseudo-Windows-Update-Verknüpfungen von meinem Desktop entfernen. Und sie kamen nicht wieder.

Die tausenden aktiven TMP-Dateien auf meiner C:-Partition entfernte ich übrigens mit dem sinnvollen Tool „Unlocker“. Ich installierte das Programm, stellte ein, dass im Rechtsklick-Menü eine Kurzverbindung dazu ist, lies es laufen und löschte die Dateien einfach schnippeldi-zapp. Das sollte man aber nur tun, wenn man sich auch sicher ist, um welche Anwendungen es sich handelt. Sonst ist ebenso schnippeldi-zapp mal Windows nicht mehr startfähig.