Vundo-Infektion
|
Vundo-Infektion mit RootkitO2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\mljjj.dll O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll
* One, a phony security center warning generated by the amaena.com, a Cool Web Search domain * die andere, an Add/Remove Programs warning generated by the winfixer.com website.
The following entry will be present: 01/28/06 10:42:29 [Info]: Hidden file: C:\WINDOWS\qaz4.txt Im Geräte-Manager , ein versteckter Non-Plug and Play Driver -> DP1112 1. Rechtsklick -> Mein Computer 2. Click -> Eigenschaften --> Hardware --> Device Manager [Gerätemanager] 3. in der Symbolleiste, klicke auf Ansicht -> ausgeblendete Geräte anzeigen 4. Double-click Non-Plug and Play Drivers 5. ein Eintrag Names dp112 sollte in der Liste der Treiber vorhanden sein service listing Enumerating Windows NT/2000/XP services DP1112: \??\C:\WINDOWS\system32\Drivers\DP.sys (autostart) C:\WINDOWS\qaz4.txt 1/28/2006 10:57 PM 3.56 KB Hidden from Windows API service DP1112 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112] [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112\Security] REINIGUNG * Speichern auf dem Desktop * Starte das Programm (auf das Icon klicken) Note: während des Scanns beachte: 1. Schliesse alle Browser und Programme 2. beende die Internetverbindung 3. nichts ausführen (mouse / keyboard) während des Scanns * Click Accept * Click Scan * Wenn der Scan beendet ist -> klicke-> Next * nur umbenennen ( rename ) C:\WINDOWS\qaz4.txt ,wenn es existiert * schliesse alle Programme -> klicke -> Next -> Finish. * Wähle -> Restart now to reboot the computer * Nach dem Neustart, wird alles umbenannt sein in "ren" * scanne noch mal mit BlackLight, um zu ueberprüfen, ob C:\WINDOWS\qaz4.txt nicht mehr gefunden wird Stoppe und lösche service DP1112 * Start -> Ausführen -> reinschreiben -> cmd -> Click OK * reinkopieren -> sc stop DP1112 in die Eingabeaufforderung * enter * reinkopieren -> sc delete DP1112 in die Eingabeaufforderung * enter * schliesse Eingabeaufforderung Confirm DP1112 is no longer present in the Device Manager * Rechtsklick -> My Computer * Click Eigenschaften -->Hardware --> Geraete-Manger * On the toolbar menu, click View--> Show Hidden devices. * Doppelklick -> Non-Plug and Play Drivers * überprüfe, dass DP1112 nicht mehr da ist. C:\WINDOWS\qaz4.txt.ren C:\WINDOWS\system32\Drivers\DP.sys # Doppelklick VundoFix.exe # Click -> Scan Vundo button. # Wenn der Scan beendet ist, click -> Remove Vundo # Man wird gefragt, ob man die Dateien löschen will -> click "yes" # Danach wird der Bildschirm "blank" werden # dann wird man gefragt, ob -> shutdown your computer, click OK. # Neustart # es wurde eine vundofix.txt im C:\ erstellt # önffe die C:\vundofix.txt mit dem Texteditor und ueberprüfe, was gelöscht wurde Checking %System% folder... Umonitor 1/28/2006 10:57:20 AM 57364 C:\WINDOWS\SYSTEM32\ljbpjbqn.exe falls die exe vorhanden ist -> löschen C:\WINDOWS\system32\winuddate.exe infiziert mit Win32.HLLW.MyBot.based - gelöscht |