Infos zur manuellen Beseitigung
Vorweg: Alle hier genannten Infos wurden nach bestem Wissen und Gewissen erstellt es ist nicht ausgeschlossen, dass es weitere Stellen gibt in denen sich der Bot einnistet, doch bisher haben wir keine gefunden.
Zunächst wissen wir, dass der Bot eine Autostart-Routine braucht. Diese fanden wir in der Registry unter folgenden Schlüsseln:
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msupdate
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate
In jedem dieser Schlüssel befindet sich eine Zeichenfolge mit dem Namen: "ImagePath"
Der Wert der Zeichenfolge lautet im Infektionsfall: "c:\windows\system32\..\svchost.exe"
Verdächtig genug. Entfernen wir diese schlüssel (jeweils msupdate) so startet der Bot nicht mehr beim nächsten reboot von Windows.
Nach dem neustart müsst ihr noch den Bot selbst löschen, er befindet sich wie oben angezeigt in C:\%SYSTEMROOT%\svchost.exe, bitte löscht diese Datei.
Der letzte Schritt: Sucht nach svchost.exe und erweiterung.exe und löscht die gefundenen Dateien WENN:
1. Die Datei mit dem Namen svchost.exe außerhalb des System32 Verzeichnisses befindet ODER eine Größe von 37.019 Bytes besitzt
2. Die Datei erweiterung.exe heißt und euch unbekannt ist (zusätzlich hat sie wahrscheinlich eine Größe von ca. 30 KB
Falls ihr mehr Informationen besitzt zum entfernen des Bots, lasst es uns wissen, wir würen diese Infos gerne im BEdarfsfall erweitern
Automatisches Cleanup Tool
Das Tool zum automatischen entfernen hat nur eine Funktion, klick einfach auf "CleanUp" und alles was das Programm macht wird euch angezeigt.
Downloaden könnnt ihr das Programm hier.
So sieht es ungefair aus, wenn es bei euch durchgelaufen ist und nichts gefunden hat:
und so siehts aus wenns was findet:
Queele by kino.to
0 Kommentare:
Kommentar veröffentlichen