Vundo-Infektion mit Rootkit

startseite Gastbuch Kontakt
Vundo-Infektion mit Rootkit
Vundo-Infektion mit Rootkit







The infected user will complain of persistant Winfixer popups but the HJT log will not have any of the usual visible Vundo indications

http://wiki.castlecops.com/Vundo_Rootkit_Detection_and_Removal_Procedure

eine neue Vundo-Infektion (mit Rootkit)

1. ist nicht sichtbar im Log von HijackThis

2. ist auch nicht sichtbar, wie die anderen Vundo-Infektionen

Dies ist nicht der Fall, wenn man bei Aufruf mit hijackthis.exe die Datei in hijackthis.com umbenennt und mit Doppelklick startet - dann sind die Zeilen in O2 und O20 vorhanden.

Beispiel:

Hijackthis

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\mljjj.dll
O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll


3. service ist sichtbar in Blacklight und in der HJT Startup List im abgesicherten Modus

HijackThis (StartupListe)
Starte den Rechner bitte im abgesicherten Modus und erstelle dort ein Hijackthis log und ein Startuplist log, dazu bitte in die ms tools setion gehen, beide Dinge bei "generate statuplist log" anhaken und die liste erstellen lassen.

*HijackThis - Config
*List also minor sections (full) -- Häkchen setzen
*List empty sections (complete) -- Häkchen setzen
*HijackThis - Config - MiscTools -- Generate StartupListlog
*(es öffnet sich das Notepad [Texteditor], nun das KOMPLETTE Log abkopieren


4. Visual/operational indicators include have two separate fake warning windows

* One, a phony security center warning generated by the amaena.com, a Cool Web Search domain
* die andere, an Add/Remove Programs warning generated by the winfixer.com website.

security center warning

security center

Vundo-rootkit-ARP-Warnung - Programme hinzufügen/entfernen Warnung durch winfixer.com generiert

Vundo-rootkit-ARP-warning




BlackLight Log

The following entry will be present:
01/28/06 10:42:29 [Info]: Hidden file: C:\WINDOWS\qaz4.txt




Hidden Non-Plug and Play Driver

Im Geräte-Manager , ein versteckter Non-Plug and Play Driver -> DP1112

überprüfen:

1. Rechtsklick -> Mein Computer
2. Click -> Eigenschaften --> Hardware --> Device Manager [Gerätemanager]
3. in der Symbolleiste, klicke auf Ansicht -> ausgeblendete Geräte anzeigen
4. Double-click Non-Plug and Play Drivers
5. ein Eintrag Names dp112 sollte in der Liste der Treiber vorhanden sein




The HijackThis Startup List

service listing
Enumerating Windows NT/2000/XP services

DP1112: \??\C:\WINDOWS\system32\Drivers\DP.sys (autostart)




Rootkit Revealer Log

C:\WINDOWS\qaz4.txt 1/28/2006 10:57 PM 3.56 KB Hidden from Windows API




Registry

service DP1112

Start -> Ausführen -> regedit

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112\Security]




REINIGUNG

Lade Blacklight click-> accept

* Speichern auf dem Desktop
* Starte das Programm (auf das Icon klicken)

Note: während des Scanns beachte:

1. Schliesse alle Browser und Programme
2. beende die Internetverbindung
3. nichts ausführen (mouse / keyboard) während des Scanns

* Click Accept
* Click Scan
* Wenn der Scan beendet ist -> klicke-> Next

* nur umbenennen ( rename ) C:\WINDOWS\qaz4.txt ,wenn es existiert

* schliesse alle Programme -> klicke -> Next -> Finish.

* Wähle -> Restart now to reboot the computer

* Nach dem Neustart, wird alles umbenannt sein in "ren"

* scanne noch mal mit BlackLight, um zu ueberprüfen, ob C:\WINDOWS\qaz4.txt nicht mehr gefunden wird




Stoppe und loesche service DP1112

* Start -> Ausführen -> reinschreiben -> cmd -> Click OK
* reinkopieren -> sc stop DP1112 in die Eingabeaufforderung
* enter
* reinkopieren -> sc delete DP1112 in die Eingabeaufforderung
* enter
* schliesse Eingabeaufforderung




Confirm DP1112 is no longer present in the Device Manager

* Rechtsklick -> My Computer
* Click Eigenschaften -->Hardware --> Geraete-Manger
* On the toolbar menu, click View--> Show Hidden devices.
* Doppelklick -> Non-Plug and Play Drivers
* überprüfe, dass DP1112 nicht mehr da ist.




Lösche:

C:\WINDOWS\qaz4.txt.ren
C:\WINDOWS\system32\Drivers\DP.sys




VundoFix.exe
http://virus-protect.org/artikel/tools/vundofixx.html

Direkt download http://www.atribune.org/ccount/click.php?id=4

# Doppelklick VundoFix.exe
# Click -> Scan Vundo button.
# Wenn der Scan beendet ist, click -> Remove Vundo
# Man wird gefragt, ob man die Dateien löschen will -> click "yes"
# Danach wird der Bildschirm "blank" werden
# dann wird man gefragt, ob -> shutdown your computer, click OK.
# Neustart
# es wurde eine vundofix.txt im C:\ erstellt
# önffe die C:\vundofix.txt mit dem Texteditor und ueberprüfe, was gelöscht wurde




WinPfind - laden: winpfind3

Checking %System% folder...
Umonitor 1/28/2006 10:57:20 AM 57364 C:\WINDOWS\SYSTEM32\ljbpjbqn.exe

falls die exe vorhanden ist -> löschen




Online.Virenscans

http://virus-protect.org/onlinescan.html




Valid HTML 4.01 Ranking-Hits