Vundo
|
Werbung
Vundo-Infektion mit Rootkiteine neue Vundo-Infektion (mit Rootkit) 1. ist nicht sichtbar im Log von HijackThis 2. ist auch nicht sichtbar, wie die anderen Vundo-Infektionen Dies ist nicht der Fall, wenn man bei Aufruf mit hijackthis.exe die Datei in hijackthis.com umbenennt und mit Doppelklick startet - dann sind die Zeilen in O2 und O20 vorhanden. Beispiel:
3. service ist sichtbar in Blacklight und in der HJT Startup List im abgesicherten Modus
4. Visual/operational indicators include have two separate fake warning windows * One, a phony security center warning generated by the amaena.com, a Cool Web Search domain * die andere, an Add/Remove Programs warning generated by the winfixer.com website. security center warning 
Vundo-rootkit-ARP-Warnung - Programme hinzufügen/entfernen Warnung durch winfixer.com generiert 
BlackLight Log The following entry will be present: 01/28/06 10:42:29 [Info]: Hidden file: C:\WINDOWS\qaz4.txt Hidden Non-Plug and Play Driver Im Geräte-Manager , ein versteckter Non-Plug and Play Driver -> DP1112 überprüfen: 1. Rechtsklick -> Mein Computer 2. Click -> Eigenschaften --> Hardware --> Device Manager [Gerätemanager] 3. in der Symbolleiste, klicke auf Ansicht -> ausgeblendete Geräte anzeigen 4. Double-click Non-Plug and Play Drivers 5. ein Eintrag Names dp112 sollte in der Liste der Treiber vorhanden sein The HijackThis Startup List service listing Enumerating Windows NT/2000/XP services DP1112: \??\C:\WINDOWS\system32\Drivers\DP.sys (autostart) Rootkit Revealer C:\WINDOWS\qaz4.txt 1/28/2006 10:57 PM 3.56 KB Hidden from Windows API Registry service DP1112 Start -> Ausführen -> regedit [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112] [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DP1112\Security] REINIGUNG Lade Blacklight click-> accept * Speichern auf dem Desktop * Starte das Programm (auf das Icon klicken) Note: während des Scanns beachte: 1. Schliesse alle Browser und Programme 2. beende die Internetverbindung 3. nichts ausführen (mouse / keyboard) während des Scanns * Click Accept * Click Scan * Wenn der Scan beendet ist -> klicke-> Next * nur umbenennen ( rename ) C:\WINDOWS\qaz4.txt ,wenn es existiert * schliesse alle Programme -> klicke -> Next -> Finish. * Wähle -> Restart now to reboot the computer * Nach dem Neustart, wird alles umbenannt sein in "ren" * scanne noch mal mit BlackLight, um zu ueberprüfen, ob C:\WINDOWS\qaz4.txt nicht mehr gefunden wird Stoppe und loesche service DP1112 * Start -> Ausführen -> reinschreiben -> cmd -> Click OK * reinkopieren -> sc stop DP1112 in die Eingabeaufforderung * enter * reinkopieren -> sc delete DP1112 in die Eingabeaufforderung * enter * schliesse Eingabeaufforderung Confirm DP1112 is no longer present in the Device Manager * Rechtsklick -> My Computer * Click Eigenschaften -->Hardware --> Geraete-Manger * On the toolbar menu, click View--> Show Hidden devices. * Doppelklick -> Non-Plug and Play Drivers * überprüfe, dass DP1112 nicht mehr da ist. Lösche: C:\WINDOWS\qaz4.txt.ren C:\WINDOWS\system32\Drivers\DP.sys Link: VundoFix Direkt download VundoFix # Doppelklick VundoFix.exe # Click -> Scan Vundo button. # Wenn der Scan beendet ist, click -> Remove Vundo # Man wird gefragt, ob man die Dateien löschen will -> click "yes" # Danach wird der Bildschirm "blank" werden # dann wird man gefragt, ob -> shutdown your computer, click OK. # Neustart # es wurde eine vundofix.txt im C:\ erstellt # önffe die C:\vundofix.txt mit dem Texteditor und ueberprüfe, was gelöscht wurde WinPfind - laden: winpfind3 Checking %System% folder... Umonitor 1/28/2006 10:57:20 AM 57364 C:\WINDOWS\SYSTEM32\ljbpjbqn.exe falls die exe vorhanden ist -> löschen Online.Virenscans Dr.Web Antivirus C:\WINDOWS\system32\winuddate.exe infiziert mit Win32.HLLW.MyBot.based - gelöscht |
©virus-protect.org
