activexdebugger32.exe - UFO.exe

activexdebugger32.exe - UFO.exe

Im Moment verbreiten sich zunehmend Wurmprogramme über USB-Sticks und Windows-PCs. Diese Programme nutzen die Tatsache aus, dass Microsoft Windows nach dem Einstecken eines USB-Sticks (und auch nach dem Einlegen einer Daten-CD oder -DVD) nach einer Textdatei "autorun.inf" sucht und bei Erfolg ohne jede Nachfrage darin aufgeführte Programme startet.

Das tückische an diesem Wurm ist, dass befallene Microsoft-Windows-Rechner jeden weiteren eingesteckten USB-Stick sofort ebenfalls infizieren, wodurch sich der Schädling recht schnell im gesamten Bekanntenkreis ausbreitet.

C:\WINDOWS\system32\activexdebugger32.exe - Infected: Trojan-Dropper.Win32.VB.pt
setzt das Dateiattribut "versteckt" für autorun.inf

* Versteckte- und Systemdateien sichtbar machen weiter...

* öffne mit dem Texteditor: "autorun.inf"

2 USB Sticks wurden verwendet... - 1.Stick + 2.Stick

[AutoRun] open=activexdebugger32.exe shellexecute=activexdebugger32.exe f shell\Auto\command=activexdebugger32.exe f shell=Auto shell\open=Open(O) shell\open\Command=activexdebugger32.exe f shell\open\Default=1 shell\explore=Explorer(X) shell\explore\Command=activexdebugger32.exe f

spezifischer Fall - BEISPIEL

* Combofix

2007-04-19 20:24 376,832 --sh--w C:\WINDOWS\system32\activexdebugger32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f1e19b6-91f9-11dc-ba0d-0016d301cd91}]
\Shell\Auto\command - F:\activexdebugger32.exe f
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f
\Shell\explore\Command - F:\activexdebugger32.exe f
\Shell\open\Command - F:\activexdebugger32.exe f

---

Anleitung:

zuerst den Stick reinigen, eigentlich sollte man dann neustarten, mache es aber noch nicht ... erst die activexdebugger32.exe löschen auf C:\ - manuell- (mit vorherigem deaktivieren im Taskmanager) und dann noch mal mit combofix, weil da auch die Registry mit gereinigt wird, dann neustarten - und alles prüfen

1. zuerst den Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

2. wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"

3. C:\WINDOWS\system32\activexdebugger32.exe - suchen / löschen (vorher im Taskamanger dekativieren)

4. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Du solltest jetzt auf dem Desktop diese Datei cfscript.txt finden.

KILLALL:: Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f1e19b6-91f9-11dc-ba0d-0016d301cd91}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a77baa72-c500-11dc-9144-00184dd51683}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64f40c50-c8df-11dc-9152-00184dd51683}] File:: C:\WINDOWS\system32\activexdebugger32.exe C:\WINDOWS\system32\Ijl11.dll C:\WINDOWS\system32\KMON.OCX C:\WINDOWS\system32\scrrntr.dll C:\WINDOWS\system32\PAC.EXE C:\WINDOWS\system\ACD2.CMD C:\WINDOWS\system\ACD.CMD C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\NESNELER.EXE

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen wende Combofix noch mal an

5. Starte den Rechner neu

---

anderer PC - UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{461ab5c2-6182-11dd-9521-001478123eb4}] \Shell\Auto\command - C:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

File:: C:\UFO.exe Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{461ab5c2-6182-11dd-9521-001478123eb4}]

Link: amvo.exe weiter...

---