Trojan.Virtumod

Trojan.Virtumod - Vundo trojan

datfindbat

Verzeichnis von C:\WINDOWS\system32

07.01.2007 22:54 81.684 umbjcvje.dll
06.01.2007 22:53 81.684 gdsjafab.dll
06.01.2007 22:53 132.116 iudlafhh.dll
05.01.2007 22:53 132.116 gxrfwwie.dll
05.01.2007 22:52 81.684 hniijiyh.dll
04.01.2007 22:51 81.684 yrobabxc.dll
22.12.2006 21:26 183.316 lpjlkybd.dll
21.12.2006 19:24 38.217 vwrlhddn.ini
19.11.2006 17:34 131.604 xfbginwr.dll
02.11.2006 17:02 483.328 actskn45.ocx
01.11.2006 15:30 110.612 nyjfkjgc.exe
19.10.2006 21:51 67.604 nxctuycv.exe
08.10.2006 09:38 19.968 ixt0.dll
07.10.2006 18:11 4.286 ot.ico
07.10.2006 18:11 4.286 ts.ico
04.10.2006 17:02 143 mcrh.tmp
25.09.2006 20:22 143.380 tfupxdwa.exe
04.09.2006 17:03 40.973 gebxwtq.dll

Gmer-Antirootkit

---- User code sections - GMER 1.0.12 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[3536] kernel32.dll!MultiByteToWideChar 77E5A7FC 6 Bytes JMP 0266F990
C:\WINDOWS\Cursors\arsajva.dll

1. Öffne Notepad (editor) Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor. Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

echo ** This batch was originally written by OSC ** cd C:\WINDOWS\Cursors if exist C:\contents.txt del C:\contents.txt echo ************************************>> C:\contents.txt echo **These are the hidden files found**>> C:\contents.txt echo ************************************>> C:\contents.txt dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt echo **These are the system files found**>> C:\contents.txt echo ************************************>> C:\contents.txt dir /a:s >> C:\contents.txt attrib /d /s -s -r -h -a start notepad c:\contents.txt exit

3. Speichere die Datei als findtheother.bat auf dem Desktop
4. Doppel klick auf diese Datei findtheother.bat
Verzeichnis von C:\WINDOWS\Cursors

10.11.2006 07:09 712.724 arsajva.dll
10.11.2006 07:10 772.662 avjasra.bak1
08.01.2007 20:44 580.954 avjasra.bak2
09.01.2007 12:00 626.434 avjasra.ini
4 Datei(en) 2.692.774 Bytes
0 Verzeichnis(se), 27.300.204.544 Bytes frei

Cleanup anwenden

Avenger (Beispiel)

Files to delete: C:\WINDOWS\system32\umbjcvje.dll C:\WINDOWS\system32\gdsjafab.dll C:\WINDOWS\system32\iudlafhh.dll C:\WINDOWS\system32\gxrfwwie.dll C:\WINDOWS\system32\hniijiyh.dll C:\WINDOWS\system32\yrobabxc.dll C:\WINDOWS\system32\lpjlkybd.dll C:\WINDOWS\system32\vwrlhddn.ini C:\WINDOWS\system32\xfbginwr.dll C:\WINDOWS\system32\nyjfkjgc.exe C:\WINDOWS\system32\actskn45.ocx C:\WINDOWS\system32\nxctuycv.exe C:\WINDOWS\system32\ixt0.dll C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\tfupxdwa.exe C:\WINDOWS\system32\gebxwtq.dll C:\WINDOWS\Cursors\arsajva.dll C:\WINDOWS\Cursors\avjasra.bak1 C:\WINDOWS\Cursors\avjasra.bak2 C:\WINDOWS\Cursors\avjasra.ini C:\WINDOWS\system32\arsajva.dll

scanne mit Vundofix

vundofix:
C:\WINDOWS\Cursors\arsajva.dll