2236_32.dll,xpupdate.exe, windows security center
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\System32\2236_32.dll
•
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Install.dat
C:\WINDOWS\xpupdate.exe
•
datfindbat
Verzeichnis von C:\WINDOWS\system32
12.09.2006 20:36 17 dlh9jkdq8.exe
12.09.2006 18:44 1 kr_done1
12.09.2006 18:44 157.696 2236_32.dll
12.09.2006 10:25 1 vx.tll
12.09.2006 10:25 17.960 dlh9jkdq2.exe
2236_32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\InProcServer32]
@="C:\\WINDOWS\\System32\\2236_32.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DCOM Server 2236"="{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"
|
•
Gehe in die Registry
Start - Ausführen - regedit
bearbeiten - suchen -
DCOM Server 2236 und
2236_32.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
loeschen:
"{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
loeschen:
"DCOM Server 2236"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
loeschen:
Wallpaper=C:\WINDOWS\desktop.html
•Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter'
auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "
sheriff.reg" auf dem Desktop doppelklicken.
REGEDIT4
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-
|
•
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}
Files to delete:
C:\Windows\xpupdate.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\2236_32.dll
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\maindll.dll
|
