Vundo-Infektion
|
Vundo-Infektion mit Rootkit
ist nicht sichtbar im Log von HijackThis
Dies ist nicht der Fall, wenn man bei Aufruf mit hijackthis.exe die Datei
in hijackthis.com umbenennt und mit Doppelklick startet - dann
sind die Zeilen in O2 und O20 vorhanden.
Hijackthis
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\mljjj.dll O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll
service ist sichtbar in
Blacklight
und in der HJT Startup List im abgesicherten Modus
Visual/operational indicators include have two separate fake warning windows
* One, a phony security center warning generated by the amaena.com, a Cool Web Search domain * die andere, an Add/Remove Programs warning generated by the winfixer.com website.
security center warning
Vundo-rootkit-ARP-Warnung - Programme hinzufügen/entfernen Warnung durch winfixer.com generiert
BlackLight
The following entry will be present: 01/28/06 10:42:29 [Info]: Hidden file: C:\WINDOWS\qaz4.txt
Hidden Non-Plug and Play Driver
Im Geräte-Manager , ein versteckter Non-Plug and Play Driver -> DP1112
überprüfen:
1. Rechtsklick -> Mein Computer 2. Click -> Eigenschaften --> Hardware --> Device Manager [Gerätemanager] 3. in der Symbolleiste, klicke auf Ansicht -> ausgeblendete Geräte anzeigen 4. Double-click Non-Plug and Play Drivers 5. ein Eintrag Names dp112 sollte in der Liste der Treiber vorhanden sein
The HijackThis Startup List
service listing Enumerating Windows NT/2000/XP services DP1112: \??\C:\WINDOWS\system32\Drivers\DP.sys (autostart)
Rootkit Revealer
C:\WINDOWS\qaz4.txt 1/28/2006 10:57 PM 3.56 KB Hidden from Windows API
Registry
service DP1112
Start -> Ausführen -> regedit
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112] [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112\Security] REINIGUNG
Lade Blacklight click-> accept
* Speichern auf dem Desktop * Starte das Programm (auf das Icon klicken) Note: während des Scanns beachte: 1. Schliesse alle Browser und Programme 2. beende die Internetverbindung 3. nichts ausführen (mouse / keyboard) während des Scanns * Click Accept * Click Scan * Wenn der Scan beendet ist -> klicke-> Next * nur umbenennen ( rename ) C:\WINDOWS\qaz4.txt ,wenn es existiert * schliesse alle Programme -> klicke -> Next -> Finish. * Wähle -> Restart now to reboot the computer * Nach dem Neustart, wird alles umbenannt sein in "ren" * scanne noch mal mit BlackLight, um zu ueberprüfen, ob C:\WINDOWS\qaz4.txt nicht mehr gefunden wird Stoppe und lösche service DP1112 * Start -> Ausführen -> reinschreiben -> cmd -> Click OK * reinkopieren -> sc stop DP1112 in die Eingabeaufforderung * enter * reinkopieren -> sc delete DP1112 in die Eingabeaufforderung * enter * schliesse Eingabeaufforderung Confirm DP1112 is no longer present in the Device Manager * Rechtsklick -> My Computer * Click Eigenschaften -->Hardware --> Geraete-Manger * On the toolbar menu, click View--> Show Hidden devices. * Doppelklick -> Non-Plug and Play Drivers * überprüfe, dass DP1112 nicht mehr da ist.
Lösche:
C:\WINDOWS\qaz4.txt.ren C:\WINDOWS\system32\Drivers\DP.sys
VundoFix
# Doppelklick VundoFix.exe # Click -> Scan Vundo button. # Wenn der Scan beendet ist, click -> Remove Vundo # Man wird gefragt, ob man die Dateien löschen will -> click "yes" # Danach wird der Bildschirm "blank" werden # dann wird man gefragt, ob -> shutdown your computer, click OK. # Neustart # es wurde eine vundofix.txt im C:\ erstellt # önffe die C:\vundofix.txt mit dem Texteditor und ueberprüfe, was gelöscht wurde
laden: Winpfind3
Checking %System% folder... Umonitor 1/28/2006 10:57:20 AM 57364 C:\WINDOWS\SYSTEM32\ljbpjbqn.exe falls die exe vorhanden ist -> löschen
Online.Virenscans
Dr.Web Antivirus
C:\WINDOWS\system32\winuddate.exe infiziert mit Win32.HLLW.MyBot.based - gelöscht |
